Résultats de la recherche en texte intégral de ' fi '

modifications __mineures__ sont montrées, et pas uniquement les plus
récentes (voir DernièresModifs pour les modifications non-mineures les
Voici une liste des pages récemment modifiées dans ce wiki (voir ÉditionsRécentes
pour obtenir la liste des modifications mineures).
You and I will find these statements there particularly relevant:
''The point is to make the EditText form simple and the FindPage
generally labeled WabiSabi. Zen finds beauty in the imperfect and
et la recherche par la page de recherche (FindPage) rapide''
''"Wiki wiki"'' signifie "vite" en hawaïien.
* Pour avoir une police à chasse fixe, indentez avec une espace :
au sujet de la chasse fixe
sans trouver de rime pour fixe
*__Lacomere Quentin__ - super! cherche infos pour café sur croisic voulant faire un noeud wifi! serait cool de me contacter lacomere@hotmail.com 20/08/03
*__Samir CHIKHI__Wifi Montauban _ visiteur _ 8/02/2005
In short: paging support, adodb rewrite, permission problem fixed.
* fixed severe permission problem:
* set UserPreferences for bool and int fixed
* dba open problems improved, but not generally fixed
* fixed dba session reading, but still broken
* fixed navbar links in theme smaller, and made them default
* fixed loading of localized pagenames on action=upgrade
* fixed interwiki.map loading on certain PrettyWiki setups
* fix running phpwiki in "http://server/" (empty DATA_PATH)
* fix PhpWiki:PrettyWiki detection: starter script includes index.php,
and include main.php by its own to override certain config values.
* fix WikiAdminRemove arguments passed from WikiAdminSelect,
* HttpClient fixes for older php's
* numerous other minor bugfixes.
TOC_FULL_SYNTAX is defined
* PageChangeNotification: userids, not emails are printed
* PageChangeNotification changed subject to "[WikiName] Page change %s",
update your filters accordingly
db: fix page.id auto_increment and ADD session.sess_ip
* new ini-style config instead of old index.php, by Joby Walker
Bugfix patch for the following 1.3.9 problems:
* set UserPreferences for bool and int fixed
* HttpClient fixes for older php's
* fixes problems with DBA open failures.
* fixed a warning on info page
Bugfix release for the following 1.3.8 problems:
* several path issues (cannot findfile...), which were caused
by a chdir for bindtextdomain in lib/config.php.
External plugable authentification, DB prefs and sessions,
some more fixes, docs, themes and plugins.
* added theme and plugin-specific PageList column types and theme-specific UserPreferences
* added EmailVerification and PageChangeNotification (experimental)
* fixed WikiAdminSelect, WikiAdminRemove
* fixed and improved XHTML dumps (css, images, unlinked pages, \r\r\n issue)
* fixed ADODB limit problem, fixed dba on Windows PHP 4.3.x
* fixed BlockParser problem with "0" as text
* fixed UnfoldSubpages sortby
* fixes for PHP5 compatibility started
* fixed gettext, setlocale and update_locale problems
* several stable releases with better documentation (most plugins) and various bugfixes.
* Jochen Kalmbach's new UserFileManagement and UserRegistration didn't went upstream.
* Start of external authorisation in the config, but not in code.
figure out a clean way to provide for a variety of (not all forseen)
* File uploads: see PhpWikiAdministration.
* Database support for MySQL, Postgresql, mSQL, flat file and the new
zip file, and deleting pages.
for Postgresql, numerous bug fixes and more. See the =HISTORY= file
details into columns (for efficiency we agreed not to put references
Version 1.01 includes a patch that fixes a small error with rendering
See the =HISTORY= file for a rundown on the whole development process
* fix [/Subpage] links
* fix pref storing of already crypted passwords. bug #1327470 (Tom Harding)
* fix cache headers on errors (@ob_end_flush issue). (matt brown)
* fix BogoLogin when ENABLE_PAGEPERM=false. patch #1438392 by Matt Brown
* fix _accesslog->logtable and _is_buffering_output warnings (uckelman)
* fix pref->set: Error generated when login out. bug #1355533 (Thierry Nabeth)
* fix default preferences for editheight maxrows, by Manuel Vacelet.
* fix DBAUTH arguments to be position independent, bug #1358973
* fix output of Homepage prefs update
* update config-dist.ini format from CVS
* update configurator.php from CVS
* print filename on dba access error
* make TextSearchQuery->_stoplist localizable and overridable within config.ini
* fixes for mysql 5.x wantedpages join
* fixed hash() in plugin/RateIt
* plugin/_AuthInfo: protect File passwords
* fixed Portland and Wordpress editpage template
* fix change prefs for File WikiUser
* fix HomepagePrefs update message
* apply PluginToolbarButton fix from cvs
* fix "Call-time pass-by-reference" in CreateBib
* fix parse error in SiteMap.php
Rename function hash() and method final() for php-5.1 compatibility.
* fix ZipReader
* Fix "Call-time pass-by-reference has been deprecated" errors,
* fix broken locale update for php-5.1.1
* default locale fix by Thomas Harding
* fix Bug #1381464 "Duplicate functions" with php-5.1.1
* InterWikiMap: allow spaces in paths, even implicitly. fixes bug #1218733
* fix 'VOID' in TextSearchQuery
* fix SQL WantedPages
* fix fulltext search for stoplists
* fix bug #1327912 numeric pagenames can break plugins (Joachim Lous)
* fix xmlrpc and tests/unit for !register_long_arrays
* fix GoogleMaps syntax error
* fix ListPages for non-SQL backends. Add top3recs as default only if
* plugin/_WikiTranslation: protect against 2x define
* remove mysql specific ISNULL()
* fix signout pref error
* email notifications: better From: header
* added NUM_SPAM_LINKS as config.ini option
* added plugin FileInfo
* fixed OldStyleTables plugin with args
* fixed ENABLE_MARKUP_TEMPLATE warning if undefined
* fixed writing unwanted accesslog sql entries
* fixed WikiAdminSelect preselection
* fixed passencrypt.php for PHP5 !register_long_arrays
* fixed configurator for DATABASE_DSN, USER_AUTH_ORDER
* configurator takes default description from config-dist.ini
* added some missing configurator constants
Lots of bugfixes, and some feature and performance enhancements.
* fixed crash after login, by eliminating endless recursion in
* fixed syntax errors in signin.tmpl
* fixed missing DEBUG warnings (Support #954260)
* fixed sql statements for pagedata where it is not needed, fixing the
* fixed and improved WikiDB pageid caching.
* fixed some WikiGroup errors for WIKIPAGE and DB
* fixed rename with dba
* fixed Today link in all templates if USE_PATH_INFO = false
* fixed PluginManager fatal error line 222
* utf-8 pagenames fixed (typed foreign names from IE)
* CGI: no PATH_INFO fix
* fix some too loose PhpWiki:PagePermissions for signed, but not authenticated users
* security fix for create ACL: action=edit is now checked for create
* fixed important WikiDB bug with DEBUG > 0: wrong assertion
* fixed flatfile ArchiveCleaner assertion
* RssFeedPlugin stability fix for empty feeds or broken connections
* fixed Sidebar theme CSS, added existing dates to jscalendar
* fixed PhpWiki:ImageLinks, broken since 1.3.10 (Bug #956068)
* fixed lib/pear/File_Passwd loading
* fixed duplicate session_id warning with adodb
* fixed adodb ~DbPassUser login
* fixed external ~DbPassUser login
* fixed adodb action=upgrade
* fixed ~FilePassUser locking problems and session handling
* fixed a lot of LDAP auth and group issues
* fixed LDAP options handling (by John Cole)
* fixed possible security problems: allowing only posixly strict usernames,
* fixed flatfile assertion (#963268) - check existing previous version
* fixed all msg references from index.php to config/config.ini
* fixed immediate LANG and THEME in-session updates if not stored in prefs
* fixed USER_AUTH_POLICY=old, use only USER_AUTH_ORDER methods (besides ~HttpAuth)
and removed LDAP, POP3, IMAP default configs.
* RelatedChanges: fixed days links
* fix Rename: Change pagename in all linked pages
* fixed PhpWiki:PageChangeNotification for not-current users
* fixed UpLoadPlugin for filenames with space (Bug #969532)
* fixed label support for CreateTocPlugin (Bug #969495)
* fixed Apache2 crashing with old markup and the CreateTocPlugin.
* fixed unneeded UserPreferences plugin login screen on dumphtml
* fixed xmlrpc to be able to use the native xmlrpc extension.
* fixed xmlrpc wiki.listLinks method: "name" => "page" param
* fixed xmlrpc security not using eval on usercode anymore
* fixed WikiAdminUtils behaviour on POST
* fixed strict login on "Db" (by Mikhail Vladimirov)
* more /tmp warnings on flatfile (by Joel Uckelman)
* improved ~FileFinder include_path logic (~NormalizeLocalFileName, ...)
** init global FileFinder to add proper include paths at startup
** fix slashify for Windows
* check more config-default and predefined constants
* simplified some strings for easier translation
* added owner and acl fields to dumps
* import GOOGLE_LICENSE_KEY and FORTUNE_DIR from config.ini
* INCLUDE_PATH is now prepended, not appended. PHPWIKI_DIR is forced to be first.
* moved DbSession methods to extra files as with WikiUser files.
* changed config.ini options:
* new other config options:
* added support for ?force_unlock=1 parameter for stale File_Passwd locks
* added mysql-4.1 fix at action=upgrade,
added CACHE_CONTROL NONE => NO_CACHE config.ini fix to action=upgrade
* added [OverWrite All] button to loadfile action on the first page.
* performance: use cached static config/config.php, if it's writable by
* added more PageChangeNotification on other actions: rename, remove.
* action=upgrade performs now a mysql LOCK TABLE privileges check and fix
* action=upgrade asks now for the admin's user and password if not defined
* support remove for $WhichDatabase = file
PhpWiki 1.2.9 bugfix:
* Jose Vina fixed MostPopular sorting for dba and dbm,
* register_globals=off fix:
fix and centralize broken register_globals=off logic.
* lib/zipfile.php: Content-Disposition: attachment
* lib/config.php, lib/stdlib.php: support new USE_LINK_ICONS and AUTOSPLIT_WIKIWORDS,
* locale/*: fix and update strings and templates esp. for german,
;: flatfile fixes and enhancement:
* fixed !TitleSearch and Backlinks for flatfile.
* enable MostPopular (hitcount storage) for flatfile
* fix zip and dumpserial on dba, dbm, msql and file,
* and fixes a minor (un)lock issue, displaying the (un)locked page afterwards
;: In short: paging support, adodb rewrite, permission problem fixed.
* fixed severe permission problem:
* set UserPreferences for bool and int fixed
* dba open problems improved, but not generally fixed
* fixed dba session reading, but still broken
* fixed navbar links in theme smaller, and made them default
* fixed loading of localized pagenames on action=upgrade
* fixed interwiki.map loading on certain PrettyWiki setups
* fix running phpwiki in "http://server/" (empty DATA_PATH)
* fix PhpWiki:PrettyWiki detection: starter script includes index.php,
and include main.php by its own to override certain config values.
* fix WikiAdminRemove arguments passed from WikiAdminSelect,
* HttpClient fixes for older php's
* numerous other minor bugfixes.
TOC_FULL_SYNTAX is defined
* PageChangeNotification: userids, not emails are printed
* PageChangeNotification changed subject to "[WikiName] Page change %s",
update your filters accordingly
db: fix page.id auto_increment and ADD session.sess_ip
* new ini-style config instead of old index.php, by Joby Walker
Bugfix patch for the following 1.3.9 problems:
* set UserPreferences for bool and int fixed
* HttpClient fixes for older php's
* fixes problems with DBA open failures.
* fixed a warning on info page
Bugfix release for the following 1.3.8 problems:
* several path issues (cannot findfile...), which were caused
by a chdir for bindtextdomain in lib/config.php.
External plugable authentification, DB prefs and sessions,
some more fixes, docs, themes and plugins.
* added theme and plugin-specific PageList column types and theme-specific UserPreferences
* added EmailVerification and PageChangeNotification (experimental)
* fixed WikiAdminSelect, WikiAdminRemove
* fixed and improved XHTML dumps (css, images, unlinked pages, \r\r\n issue)
* fixed ADODB limit problem, fixed dba on Windows PHP 4.3.x
* fixed BlockParser problem with "0" as text
* fixed UnfoldSubpages sortby
* fixes for PHP5 compatibility started
* fixed gettext, setlocale and update_locale problems
* several stable releases with better documentation (most plugins) and various bugfixes.
* Jochen Kalmbach's new UserFileManagement and UserRegistration didn't went upstream.
* Start of external authorisation in the config, but not in code.
figure out a clean way to provide for a variety of (not all forseen)
* File uploads: see PhpWikiAdministration.
* Database support for MySQL, Postgresql, mSQL, flat file and the new
zip file, and deleting pages.
for Postgresql, numerous bug fixes and more. See the =HISTORY= file
details into columns (for efficiency we agreed not to put references
Version 1.01 includes a patch that fixes a small error with rendering
See the =HISTORY= file for a rundown on the whole development process
d'administrateur. Elles ne fonctionneront pas à moins que vous ayez défini un
nom d'administrateur et un mot de passe dans le fichier de configuration de
D'abord choississez une ou plusieurs pages et ensuite définissez une action :
[/DéfinirAcl] |
PhpWiki:EmailVerification est habituellement non-strict laissant ainsi des trous possibles qui peuvent être administrés ci-dessous.
Ce bouton affichera la liste de tous les utilisateurs qui ont une adresse reconnue et les boutons pour effectuer une vérification manuelle.
label="Vérification de l'email"
Pour prévenir des robots occupant toutes les ressources en un court temps, bloquant depuis certaines adresses IP ou ayant un mauvais comportement, les agents utilisateurs peuvent être définis ci-dessous. Voir PhpWiki:HowToBlockRobots et MeatBall:SurgeProtector. _Note : Pas encore activé._
[ Râtisser le BacÀSable | phpwiki:?action=loadfile&source=pgsrc/SandBox ]
!! Récupération des fichiers
Ces liens mènent à des fichiers compressés au format ZIP, générés à la volée et contenant toutes les pages de votre Wiki. Le fichier zip sera téléchargé sur votre ordinateur.
Si le PhpWiki est configuré pour le permettre, n'importe qui peut télécharger un fichier zip.
Si votre php supporte la ''zlib'', les fichiers dans l'archive seront compressés, sinon ils seront simplement stockés.
La version la plus récente de chaque page sera écrite dans le répertoire, à raison d'une page par fichier. Votre serveur doit avoir le droit d'écrire dans le répertoire !
Si vous avez sauvegardé un ensemble de pages de PhpWiki, vous pouvez les recharger ici. Notez que les pages dans votre base de données seront écrasées ; ainsi, si vous avez récupéré votre [PageAccueil], lorsque vous le rechargerez depuis ce formulaire, il écrasera celui qui est actuellement dans votre base de données. Si vous désirez être sélectif, effacez juste du répertoire (ou du fichier zip) les pages que vous ne voulez pas charger.
!! Déposer un fichier sur le serveur
Ici vous pouvez déposer des archives Zip ou des fichiers simples depuis votre machine cliente.
!! Télécharger un fichier
Ici vous pouvez télécharger des archives ZIP, des fichiers individuels ou des répertoires entiers. Le fichier ou le répertoire doit être local au serveur http. Vous pouvez aussi utiliser ce formulaire pour charger les données d'un URL http: ou ftp:.
<?plugin WikiForm action=loadfile?>
Fait quelques vérifications et mises à jours automatiquement après avoir installé un nouveau moteur phpwiki de mise à jour
!!! Format des fichiers
Actuellement, les pages sont stockées, une par fichier, sous forme de messages électronique (RFC:822) MIME (RFC:2045). Le content-type utilisé est ''application/x-phpwiki'', et les métadonnées de chaque page sont codées dans les paramètres du content-type. Si le fichier contient plusieurs versions d'une page, il aura comme type ''multipart/mixed'', et contiendra plusieurs sous-parties, chacune de type ''application/x-phpwiki''. Le corps du message contient le texte de la page.
__Fichiers sérialisés__
La commande de sauvegarde dans un répertoire récupérait les pages en tant que chaînes php ''serialized()''. Cela rendait les fichiers très difficiles à lire pour les humains, et presque impossibles à éditer.
__Fichiers simples__
Avant cela, le texte des pages était simplement enregistré dans un fichier -- ce qui signifie que toutes les métadonnées des pages étaient perdues. Notez que lorsqu'on charge des ''fichiers simples'', le nom de la page est déduit du nom du fichier.
Les fonctions de téléchargement et de chargement reconnaîtront automatiquement chacun de ces trois types de fichiers, et les géreront convenablement.
La collection de fichiers XHTML peut aussi être téléchargée comme une __[XHTML ZIP Snapshot | phpwiki:?action=ziphtml]__.
Si votre wiki est ainsi configuré, le contenu transformé (presque HTML) de la plus récente version des pages est mis en cache. Ceci accélère la vitesse de chargement dans le navigateur car transformer le texte wiki prend du temps.
<tt>~_~*</tt> pour _*les deux*_, <tt>~=</tt> pour =chasse fixe=.%%%
_Terme<b>:</b>~<nouvelle ligne> définition_ pour les listes de définitions.%%%
*Désactiver les liens :* Préfixer avec "<tt>~~</tt>":
* listes de définitions :
* <tt>~#~[foo]</tt> : une ancre pour le texte "foo" avec l'identifiant "foo"
* <tt>~#~[|foo]</tt> : une ancre vide avec l'identifiant "foo"
* <tt>~#~[howdy|foo]</tt> : une ancre pour le texte "howdy" avec l'identifiant "foo"
* les tableaux sont des listes de définitions utilisant le tuyau (<tt>|</tt>) à la place
finition 1 commence ici.
finition 1.1
finition 1.2
C'est une partie de la définition 1.
C'est le définition 2.
finition 1 commence ici.
finition 1.1
finition 1.2
C'est une partie de la définition 1.
C'est le définition 2.
AIWiki http://www.ifi.unizh.ch/ailab/aiwiki/aiw.cgi?
Acronym http://www.acronymfinder.com/af-query.asp?String=exact&Acronym=
BenefitsWiki http://www.benefitslink.com/cgi-bin/wiki.cgi?
bsdWiki http://profile.sh/syswiki/index.php?
C2find http://c2.com/cgi/wiki?FindPage&value=
FinalEmpire http://final-empire.sourceforge.net/cgi-bin/wiki.pl?
JargonFile http://sunir.org/apps/meta.pl?wiki=JargonFile&redirect=
Thesaurus http://www.thesaurus.com/cgi-bin/search?config=roget&words=
pas verrouillée), PhpWiki utilisera à la place le fichier lib/interwiki.map
de votre distribution phpwiki. Le fichier de la carte ~Interwiki est
Le fichier de la carte est mis à jour à la main. Il est basé sur et
normaux : Dictionary:fungible, [JargonFile:Alderson loop], [IMDB:Roman Holiday],
PhpWiki est constitué d'une douzaine de fichiers environ de PHP mélangé à du HTML.
Les pages web qui forment un WikiWikiWeb basé sur PHP sont stockées dans un fichier
fichier DBM.
et rendue à la volé. L'utilisateur nde demande jamais que le fichier index.php, qui
décide alors quels sont les fichiers php à inclure.
<?plugin IncludePage page=FindPage quiet=1 section=Tips sectionhead=1 ?>
<?plugin IncludePage page=FindPage quiet=1 section=Tips sectionhead=1 ?>
<?plugin IncludePage page=FindPage quiet=1 section=Tips sectionhead=1 ?>
Vous pouvez désormais définir quelques préférences utilisateur.
Puisque le wabi-sabi représente une vision du monde complète japonaise ou encore un système esthétique, il est difficile de l'expliquer précisément en termes occidentaux. Selon Leonard Koren, le wabi-sabi est l'élément le plus caractéristique et remarquable de ce que nous concevons comme la beauté japonaise traditionnelle et il ''"occupe à peu près la même position au panthéon japonais des valeurs esthétiques que le font les idéaux de beauté et de perfection grecques à l'Ouest"''.
Voici une liste de __toutes__ les pages modifiées récemment sur ce wiki, et non
pour toutes les modifications mineures récentes).
Lorsqu'elles sont activées, des icônes seront affichées devant les URL pour
Certaines icônes par défaut utilisent le canal alpha du format d'image [PNG|http://www.libpng.org/pub/png/png-sitemap.html] pour un rendu lissé sur n'importe quel fond de page coloré ou texturé. Il se peut que certains anciens navigateurs ne sachent pas afficher ces images correctement.
Les exemples suivants ne s'afficheront avec les icônes de lien ci-dessus que si l'administrateur a validé cette option.
''Une icône générique est affichée pour les autres liens d'un type moins communs.''%%%
IcônesDeLien s'affichera seulement lorsque le protocole d'URL fait partie de ceux qui
* File transfer ftp://ftp.sourceforge.net/
quatre moyens pour spécifier leur valeur. Dans l'ordre de priorité :
# L'appel du plugin peut spécifier la valeur d'un argument comme ceci :
# L'arguement peut être spécifié via l'argument d'une requête HTTP. Ceci ne
# Valeurs par défaut spécifiées dans l'appel du plugin :
passé par l'URL (arguments GET et POST définit via '||=').
*plugin-form* est utilisé pour afficher une boîte input type=text box
password in the PhpWiki config file.
[ Rake the SandBox | phpwiki:?action=loadfile&source=pgsrc/SandBox ].
! ZIP files of database
These links lead to zip files, generated on the fly, which contain all
the pages in your Wiki. The zip file will be downloaded to your local
(If the PhpWiki is configured to allow it,) anyone can download a zip
If your php has ''zlib'' support, the files in the archive will be
directory, one page per file. Your server must have write permissions
just delete the pages from the directory (or zip file) which you don't
! Upload File
Here you can upload ZIP archives, or individual files from your
! Load File
Here you can load ZIP archives, individual files or entire
directories. The file or directory must be local to the http server.
<?plugin WikiForm action=loadfile?>
!! Format of the files
Currently the pages are stored, one per file, as MIME (RFC:2045)
(If the file contains several versions of a page, it will have type
__Serialized Files__
''serialized()'' strings. For humans, this made the files very hard
__Plain Files__
Before that the page text was just dumped to a file--this means that
all page meta-data was lost. Note that when loading ''plain files'',
the page name is deduced from the file name.
these three types of files, and handle them accordingly.
The XHTML file collection can also be downloaded as an
Si c'est donné, spécifie la taille de la zone de saisie.
Spécifie la valeur par défaut de l'entrée.
;: defintion1.2
;Term2 :defintion2
;; Term3:defintion3
;;;Term4: definition4
;;; : defintion4.2
;;; Term5 : defintion5
'''''five quotes bold italic'''''
'''''five quotes bold italic'''''
* Find out which pages are MostPopular.
final avec cette page (voir aussi Wiki:LikePages et MeatBall:LikePages).
spécifie l'année du calendrier (l'année actuelle par défaut)
spécifie le mois du calendrier (le mois actuel par défaut)
Le calendrier suivant affiche systématiquement le mois suivant le mois courant :
__prefix__ |
Préfixe pour la date (formatée par ''date_format'') pour générer les noms des "pages du jour". La valeur par défaut est =~[pagename]/=.
Le premier jour de la semaine. Il doit être spécifié par un entier de zéro (dimanche) à six (samedi) inclus.
http://inauspicious.org/files/screenshots/calender.png , et
[calendar.php |http://inauspicious.org/files/phpwiki/calendar.php]
The contents of all pages are searched to find links to the current
LikePages are pages which share an initial or final word with that
If given, specifies the size of the input area.
Specifies the default value for the input.
and first implemented by GaryBenson. It was later implemented as a
specified as an integer in the range zero (Sunday) through six
GaryBenson wrote the first calendar implementation for PhpWiki 1.2.
http://inauspicious.org/files/screenshots/calender.png|screenshot, a
In a fuzzy pages search the titles of all pages are examined to find
"Les jeunes auteurs supposent souvent que le style est une garniture pour la chair de la prose, une sauce grâce à laquelle un plat fade devient agréable au goût. Le style n'a pas de telles entités séparées ; il n'est pas détachable, il n'est pas filtrable. Le débutant devrait approcher le style avec crainte, en comprenant que c'est lui-même qu'il approche, et personne d'autre ; et il devrait commencer par se détourner résolument de tous les appareils considérés populairement comme indiquant le style -- tout maniérisme, artifice, ornement. L'approche du style se fait par la sobriété, la simplicité, l'ordre et la sincérité".
La norme Wi-Fi (''Wirelesss Fidelity'') est le nom commercial donné à la norme IEEE 802.11a, 802.11b et 802.11g par la [Wi-Fi alliance|http://www.wi-fi.org], autrefois appelé [Weca|http://www.weca.net].%%%
Les normes 802.11a/b/g sont un ensemble de règles définissant la transmission de données via le medium 'hertzien'.%%%
En 1997, l'élaboration du standard IEEE 802.11 et son développement rapide fut un pas important dans l'évolution des réseaux sans fil. Il a ainsi permis de mettre à la portée de tous un vrai système de communication sans fil pour la mise en place des réseaux informatiques hertziens. Ce standard a été développé pour favoriser l'interopérabilité du matériel entre les différents fabricants, ainsi que pour permettre des évolutions futures compatibles un peu à la manière de l'Ethernet. Ceci signifie que les consommateurs peuvent mélanger des équipements de différents fabricants afin de satisfaire leurs besoins. De plus, cette standardisation permet d'obtenir des composants à bas coût, ce qui se traduit par des prix plus faibles pour le consommateur.
Le standard définit un choix de différentes couches physiques. Celles-ci sont, au choix, [DSSS|DSSS] (''Direct Sequence Spread Spectrum'', ou [FHSS|FHSS] (''Frequency-Hopping Spread Spectrum''). Dans un premier temps, la norme spécifiait, pour le DSSS, un taux de transfert de 2 Mbps, avec un taux optionnel de fallback à 1 Mbps dans des environnements très brouillés, alors que le taux de transfert était de 1 Mbps pour le FHSS. La plupart des vendeurs ont choisi d'implémenter le DSSS après qu'une nouvelle version du standard (le 802.11b ''High Rate''), permettant d'obtenir des taux de 5,5 et 11 Mbps, fut adoptée. Celle-ci présentait l'avantage de garder la même couche physique. Ces deux normes sont bien sûr compatibles et peuvent coexister sur un même réseau. Elles travaillent toutes deux dans la bande ISM de 2.4 GHz (2.4000 GHz - 2.4835 GHz) qui est normalement allouée à travers le monde pour des opérations sans licence.
Le protocole 802.11 est très robuste et plein de fonctionnalités. Il présente de nombreux avantages permettant de minimiser les interférences, de maximiser la bande passante sur les canaux. Le 802.11 peut travailler de manière transparente avec l'Ethernet à travers un pont, ou un point d'accès, de manière à ce que tous les éléments avec et sans fil puissent interagir.
''Note : Le terme Wi-Fi est une marque déposée''
Un WikiWifiWeb est un WikiWikiWeb relatant du WiFi
__Liste des WikiWifiWeb :__
**[Wifi Paris|http://www.admi.net/cgi-bin/wiki?WifiParis]
Le CraieFiti est un langage pictural permettant d'indiquer la position d'un point d'accès. %%%
CraieFiti est le terme francisé de "Warchalking".
Voici une approche de CraieFiti pour le réseau de Nantes-Wireless :
La présence de l'un de ses symboles sur un mur ou sur un trottoire indique que vous pouvez vous connecter à un réseau sans fil.
Réunion debriefing [Scopitone|ScopiTone2004]
Réunion générale / débriefing linux party
Réunion restreinte du bureau / débriefing ScopiTone
Réunion générale / débriefing ScopiTone
Développement du NWFirmware
!Plage Fréquence du Wifi et puissances autorisés - 802.11b -802.11g - France Métropolitaine
!Fréquence du Wifi - 802.11b -802.11g - Guadeloupe, Martinique,St Pierre et Miquelon, Mayotte
!Fréquence du Wifi - 802.11b -802.11g - Réunion et Guyane
!!!Candidature ART pour obtention d’une licence d’exploitation d’un réseau sans-fil expérimental (2,4 GHz)
*Développer à l’échelle de la ville de Nantes et de sa périphérie un réseau informatique expérimental par le biais des technologies sans fil.
*Cette Association a pour objet de promouvoir l’utilisation des réseaux sans fil dans le respect de la législation et de la réglementation en vigueur
*Au 26/10 : Pour déployer ce réseau, il FAUT obtenir une autorisation de l’ART. A l’heure actuelle, seules les collectivités locales et les opérateurs télécoms commerciaux sont autorisés à réclamer cette autorisation. Concernant les collectivités, ce ne sera qu’une autorisation à des fins expérimentales, pour une durée de 3 ans.
*Ecoter : mission composée de collectivités locales (pour le Wifi) : résumé les conclusions de la mission en matière de technos wifi
*Dans ce domaine depuis 1998, date à laquelle les technologies sans fil modernes ont été normalisées, la ville de Seattle, jumelée avec Nantes, possède depuis cette date un des réseaux sans fil les plus performants au monde. Des milliers d’utilisateurs particuliers et professionnels s’y connectent quotidiennement.
Le Pundit de chez ASUS est la solution que j'ai trouver pour faire une WifiBox:
FreeRadius est un serveur d'authentification Radius (Remote Authentification Dial-In User Server). %%%
!Attention il faut porter les modifications suivantes par rapport à la doc d'Al-capone :
NoCatAuth est un système d'authentification utilisé au niveau de la passerelle Internet. (http://www.nocat.net) %%%
NoCatAuth permet de restreindre l'accès à Internet grâce à un système d'authentification centralisé.
Quand un client lance son navigateur, la passerelle du réseau sans fil le redirige directement vers la page Web du serveur d'authentification. %%%
Tant que le client ne s'est pas authentifié, celui-ci n'a accès à aucune ressource sur Internet sauf celles que l'administrateur de la passerelle a autorisées. %%%
La passerelle gère ses règles de pare-feu dynamiquement en fonction du niveau d'authentification du client. %%%
L'authentification est basée sur l'adresse MAC du client.
NoCatAuth gère plusieurs modes d'authentification : [Radius|FreeRadius], MySQL, Shadow Passwd ...
Le terme [Ad-Hoc|Ad-Hoc] désigne une infrastructure de réseau sans fil ou chaque noeud du réseau se comporte comme un routeur. %%%
Malheureusement la norme 802.11b/g ne gere pas le routage dans sa définition du mode Ad-Hoc.
Chaque noeud a ce que l'on appelle une table de routage dynamique définissant la route la plus courte vers tout les autres noeuds du réseau.%%% L'avantage de cette infrastructure est qu'elle est totalement dynamique et ne repose sur aucun élément fixe, les noeuds s'échangent entre elles leur tables de routage et au moindre problème (rupture de lien, atténuation du signal), celles ci sont capable de modifier leurs routes afin d'éviter d'éventuelles perte de données.
*[Fisheye State Routing (FSR)|http://www.cse.ohio-state.edu/~jain/cis788-99/ftp/adhoc_routing/]
Enfin pour avoir plus d'infos sur les réseaux Ad-Hoc, voici un lien regroupant de nombreuse ressources au sujet des réseaux Ad-Hoc:
Un pigtail est un câble permettant de relier du matériel WiFi à une antenne.
Nantes Wireless est une association loi 1901 dont l'objectif premier est la promotion et la vulgarisation de toutes les technologies de communication dites « Sans-fil » et tout ceci dans le respect de la législation en vigueur.
Notre but est le développement d'un réseau sans fil communautaire sur la ville de Nantes. Ce réseau est fondé sur la même philosophie et idéologie que celle des logiciels libres.
L'association est fondée officiellement depuis Juillet 2002 (parution au journal officiel au mois d'Aôut 2002), par le dépôt de ses statuts à la mairie de Nantes. Cependant, son histoire commence pratiquement un an avant par la constitution d'un groupe de travail chargé de définir ses activités et ses projets.
*La participation à des forums et expositions traitant des nouvelles technologies de communication et, plus généralement, toutes les manifestations dont l'objet concerne soit le monde associatif de la région Nantaise, soit un domaine technique susceptible d'utiliser les transmissions informatiques Sans-fil (Wireless).%%%
*L'installation d'infrastructures sans-fil dans des lieux publics, sous condition qu'il aient obtenu l'autorisation d'émettre (les « Hot-Spots Wi-Fi») par les autorités compétentes (l'Agence de Régulation des Télécommunications).%%%
*La mise à disposition de matériel pour évaluer lui-même le potentiel des technologies sans-fil.%%%
Enfin, nous travaillons également avec des partenaires « institutionnels » ou des groupements d'intérêt public/économiques :
Reliée à LAN filaire de 3 PC/Macs.%%%
Authentification : WPA2%%%
*Un serveur, nommé Paris. Les services qu'il fait tourner sont: Serveur Web (avec Php et Mysql), Serveur Dns et il fait également office de serveur de fichier. Il gère le domaine Network.local en interne, et des zones internet comme Eidenberger.com, xtrempc.com et xtrem-pc.net.
Pour ce qui est du node, il est ouvert. Si vous voulez vous y connecter (du moins, si vous arrivez a capter se node...) il vous suffit de m'envoyer un mail, en me faisant parvenir votre adresse mac, afin que je puisse vous autoriser sur le réseau.
Le WAP11 de Linksys, est un AP très répendu chez les wifistes.%%%
La différence primordiale entre les deux versions est que la configuration du v1.1 pouvait se faire grâce à un port USB présent à l'arrière de l'appareil. La configuration par USB s'étant avérée une mauvaise idée, le port USB a donc été supprimé dans la version 2.2.
*[Tests complets du Wap11 v2.0|http://www.nantes-wireless.org/pages/materiel/fiches/LinkSys-WAP111.pdf] (par Origin)
*Sur le modèle v2.2 il est possible d'upgrader le firmware avec celui du DLink DWL 900+, pour plus d'infos à ce sujet: http://www.nantes-wireless.org/index.php?page=doc/waphack
Tous les firmware de dlink ne sont pas compatibles avec le wap11.
*2.60 -> On accède à l'ap en lan mais pas en wireless configuration par interface web possible
Un noeud est un Ordinateur tournant de préférence sous des systèmes d'exploitation comme Linux ou xBSD, et servant de passerelle wifi vers le réseau national. Cet ordinateur n'a pas besoin d'être très puissant, un Pentium 166 voir un PII 233 sont suffisants en fonction du type de noeuds et du nombre de clients connectés.
!Fichiers de configuration :
Chaque noeud du réseau a 256 adresses IP qui lui sont alloués pour les clients de son réseau sans fil et les machines de son réseau :
Ceci permet pour l'instant d'envisager 255 noeuds et constitue un compromis entre une utilisation efficace de la plage d'adresses et la simplicité de configuration au niveau de chaque noeud.
*10.44.n.0/26, c'est-à-dire les adresses de 10.44.n.2 à 10.44.n.62 sont utilisées pour les clients sans fil du point d'accès, l'interface sans fil du point d'accès prend par convention l'adresse 10.44.n.1/26,
chez Doupatex pour développement de firmware
Ce sera en quelque sorte une petite bible communautaire sur le WiFi ... Qui je l'espère deviendra grande.%%%
L'Ebook étant rédigé par beaucoup de personnes, il est parfois difficile de détecter des erreurs.%%%
Enfin, si jamais vous voulez vous investir dans la rédaction d'articles, le wiki est ouvert à tous, il suffit%%%
[http://www.nantes-wireless.org/images/wiki/warning.gif] [Veuillez lire les règles de rédaction avant toute modification|ALire]
*[Les réseaux sans fil|RéseauxSansFil].
*[Les technologies sans-fil|TechnologiesSansFil]
*[Le Wi-Fi|WiFi].
!!3- Spécifications:
**[Le filtrage par adresses MAC|SecuriteMac]
!!6- Configuration :
* Le [WEP / WPA|ConfigWEPWPA]
!![8- Comparatif Bluetooth/Wifi (802.11b)|BluetoothVsWifi]
!9.3- Configuration
* [Configuration avancée d'un AP/Routeur Linksys BEFW11S4|ConfigurationBefw11s4]
* [Configuration d'une carte WiFi sous xBSD|ConfigurationSousBSD]
* le WarDriving (ou le trébucher sans fil)
* le CraieFiti
*[La législation|LegislationDuWifi]
*[Les risques sanitaires|SanteEtWifi]
*[Les livres.|LesLivresSurLeWiFi]
!![Le dico du Wi-Fi|Metz:Le%20dico%20du%20Wi-Fi]
Un réseau sans fil est un réseau dans lequel au moins deux terminaux sont capables de communiquer entre eux grâce à des signaux radio-électriques. Les réseaux sans fil ne sont pas tout récents (cf. Packet Radio), mais avec le développement de l'informatique et des systèmes d'information, la technologie est venue au besoin primaire de l'homme : la mobilité. Ces réseaux dits "sans-fil" ou "sans fil" ont leurs noms de code : WiFi, BlueTooth, BLR, UMTS etc...
299 972.458 km/s est la vitesse de la lumière dans le vide ... dans l'air celle-ci est toute relative et dépend de beaucoup de facteurs difficile à quantifier (gradients de température et de pression, densitée, composition, ...)
*omni 15 dBi actuellement fixée en hauteur, connectée à un AP linksys en émition permanente (possibilité d'utiliser la connection Adsl sur demande) %%%
Compatible avec une grande majorité des cartes wireless vendues dans le commerce, NetStumbler est considéré comme le logiciel référence d'écoute de réseaux WiFi fonctionnant sous Microsoft Windows. Netstumbler fonctionne en manipulant la couche NDIS (Network Driver Interface System) 5.1 fournie par le driver de la carte wireless. Netstumbler [termpaper|http://www.college-paper.org/custom-research-paper.html] utilise cet API pour afficher et présenter les informations issues de la couche MAC de la carte (entre autre).
NetStumbler est un logiciel d'écoute de réseaux sans-fil __ACTIF__, il est donc détectable par un administrateur ou une personne initiée dans la sécurité des réseaux sans-fil.
NetStumbler n'est pas compatible avec l'ensemble des cartes WiFi sur le marché, cependant voici une liste de cartes reconnues :%%%
La plupart des adaptateurs sans fil 802.11b, 802.11a et 802.11g devraient fonctionner sous Windows XP. Certains peuvent aussi fonctionner sous Windows 2000.
Le rapport Signal/Bruit signal affiché est souvent incorrect. Si vous utilisez un driver "NDIS 5.1" alors ce rapport Signal/Bruit ne s'affichera pas. Par exemple avec des chipsets Atheros, Atmel, Broadcom, Cisco et Centrino.
Aucun autre chipset n'est officiellement supporté.
!!2) Configuration
Pour configurer le logiciel allez dans l'onglet __"View"__ puis __"Options"__.
* __Reconfigure card automatically__
;:NetStumbler reconfigure la carte pour réaliser les écoutes dans les meilleures conditions possibles.
;:Correspond en quelque sorte à un "Whois", permet d'afficher le nom des APs (point d'accès) et pas seulement leurs adresses MAC (adresse physique).
* __Save files automatically__
;:Enregistre automatiquement les fichiers d'écoute.
Options permettant de configurer le GPS, dépend surtout du GPS que vous utilisez, voici celles que j'ai utilisé avec un GPS USB:
Channel, Patch et Transposent modifient le son (tonalité principalement).
Le fichier de sortie aura cette forme pour le format wi-scan par exemple :
J'ai expérimenté ce problème sous XP. Il suffit de décocher la case "Use Windows to configure my wireless network settings", onglet "Wireless Networks" dans "Wireless Network Connection Properties". Il semblerait que NetStumbler se ferme au momment ou Windows scanne les réseaux disponibles. D'autre part, il semble que c'est de toute manière nécessaire pour que NetStumbler fonctionne correctement...
Netstumbler désactive automatiquement Microsoft Windows Wireless Zero Configuration Utility à son lancement. Il existe un hack permettant de lever cette limitation.
Le Wifi est une technologie, qui est fréquemment utilisé dans les entreprises souhaitant accueillir des utilisateurs mobiles ou souhaitant une alternative au réseau filaire tout en conservant des performances quasi identiques.
Ces dernières années, le Wifi avait la mauvaise réputation d'être très mal sécurisé.
la prise en charge par de nombreux AP du protocole d'authentification 802.1X
Il est tout de même important de considérer les réseaux Wifi de la même manière que n'importe quels réseaux, en mettant en place tous les dispositifs de sécurités mise à votre disposition (WEP, WAP, 802.1X ...)
Nous pouvons grâce à ce schéma nous rendre compte que la fréquence est définie par la célérité et la longueur d’onde.
Il est important de prendre en compte l'atténuation, en effet une onde n'est pas envoyée à l'infini, plus on va s'éloigner de la source plus la qualité du signal diminuera, le phénomène en cause est la dispersion spatiale, qui s'applique lui aussi à la lumière.
Il suffit d'utiliser une règle et de joindre les axes distance et fréquence et de lire l'atténuation sur la colonne du milieu.
Il s'agit de zones d'interférences entre l'onde directe d'une source et l'onde dont la direction est modifiée par un obstacle tel que montagne ou immeuble. Ces deux ondes, issues de la même source, interfèrent entre elles de manière à ce que l'on se retrouve soit avec une augmentation importante liée au couplage en phase, soit à une diminution, voire une annulation totale.
En fait, nous avons à faire à la modification du trajet d'une onde lorsqu'elle passe à proximité d'un obstacle. Par exemple, dans un milieu homogène, la lumière se propage en ligne droite. Après traversée d'une ouverture, cette onde plane ne se propage plus selon la même direction. La diffraction, qui existe pour toutes les ondes électromagnétiques, s'observe dans les cas où les dimensions de l'ouverture sont petites devant la longueur d'onde
Voici le spectre électromagnétique, le Wifi opère à une longueur d'onde de 12,2448 cm et une fréquence d'approximativement 2,45 GHz (précisément : de 2412 Mhz à 2472 Mhz).
Pour avoir plus de précision au niveau des canaux, allez voir la page des FréquencesDuWifi.
Le brouillage des ondes est un point à ne pas négliger, si votre antenne artisanale a été conçu pour une autre bande de fréquence que le Wi-Fi, cette antenne émettra sur cette bande de fréquence et brouillera donc ces fréquences avec des signaux parasites.
Cette image est affichée grâce au plugin PhpWirelessMap de PhpWiki
PhpWirelessMap est un utilitaire destiné aux communautés WiFi. Celui-ci à pour but de générer dynamiquement le plan d'un réseau métropolitain sans-fil.
*online : Affiche seulement les noeuds qui sont interconnectés et qui fonctionnent.
*name : Indique à phpwirelessmap d'afficher le nom des noeuds.
''Notre magnifique stand entre celui de France Télécom et celui du Crédit Agricole''
!! Sites d'information sur le Wi-Fi
** http://guide-wifi.blogspot.com/
** http://www.canardwifi.com/
!! Sites des communautés Wi-Fi
** [Wifi Montauban|http://www.wifi-montauban.net/]
** [Paris Sans Fil|http://www.paris-sansfil.info/]
** Dlink - DWL 520+ - http://www.angers-wireless.net/v3/modules.php?name=News&file=article&sid=11&mode=&order=0&thold=0
** D-Link - DCF 650W - http://www.angers-wireless.net/v3/modules.php?name=News&file=article&sid=10&mode=&order=0&thold=0
Non EbooKée (paris-sansfil.net-->.info)
Port Based Network Access Control Cette norme permet aux points d'accès WiFi et au matériel réseau gérant le 802.1x de pouvoir authentifier ses clients grâce à un serveur [Radius|FreeRadius]. %%% L'authentification est basée sur le protocole [EAP|EAP] (PPP Extensible Authentication Protocol) qui est une extension du protocole PPP (défini dans la RFC 2284). EAP contient une douzaine de méthodes d'authentification, par mis elles, voici les plus connues :
EAP-MD5 est reconnu comme étant facilement piratable, c'est pourquoi cette méthode d'authentification n'est plus disponible sur Windows XP (à partir du Service Pack 1) pour les réseau sans-fil, elle reste utilisable uniquement pour les réseaux filaires. Pour avoir plus d'infos sur EAP-MD5 :
* __Serveurs Radius :__ Cisco, Funk, HP, FreeRADIUS (open source), Meetinghouse, Microsoft (IAS) Cette méthode d'authentification est basée sur des certificats à installer sur chaque client. %%% Celle-ci est relativement lourde à mettre en place au niveau de la gestion des utilisateurs et des certificats. %%% Cependant celle-ci à le net avantage d'être implantée directement dans Windows XP et avec [un patch dans Windows 2000|http://download.microsoft.com/download/win2000platform/Patch/Q313664/NT5/FR/Q313664_W2K_SP4_X86_FR.exe], de plus il existe des clients pour les autres systèmes : *[XSupplicant|http://sourceforge.net/projects/open1x/] (Linux) *[FUNK Odyssey|http://www.funk.com] (Win95, 98, 2K) *[Meetinghouse|http://www.mtghouse.com/support/downloads/index.shtml](Win95, 98, 2K) Pour utiliser EAP-TLS vous devez pour cela avoir un serveur [RADIUS|FreeRadius] supportant ce protocole. %%% FreeRadius supporte depuis peu EAP-TLS. %%% Pour avoir plus d'infos sur EAP-TLS : *http://blogut.online.fr/radius/InstallationFreeradiusEAP-TLSmysqlv1.0.1.pdf *http://www.freeradius.org/doc/EAPTLS.pdf *http://www.impossiblereflex.com/8021x/eap-tls-HOWTO.htm (ce liens n'est plus valide) *http://www.koumoula.com/wifi/eap-tls/eap-tls.htm *http://wifi.erasme.org/article.php3?id_article=82 *http://www.missl.cs.umd.edu/wireless/eaptls/ *http://3w.denobula.com:50000/EAPTLS.html *http://www.alphacore.net/spip/article.php3?id_article=33 Sous windows : *http://www.koumoula.com/wifi/eap-tls/eap-tls.htm
* __Clients : __ Funk, Meetinghouse * __Plateformes : __ Linux, Mac OS X, Windows 95/98/ME, Windows NT/2000/XP * __Serveurs Radius :__ Funk, Meetinghouse, FreeRADIUS La méthode TTLS nécessite d'avoir un module TLS fonctionnel ! %%% L'autentificaiton TTLS ne requiert qu'un certificat du coté Serveur pour pouvoir créer un tunnel sécurisé et gérer l'intégrité des données transmises. Il est donc possible par la suite d'utiliser ce canal pour n'importe quels types d'authentification. TTLS offre une autentification mutel robuste sans à avoir à distribuer et à gérer des certificats pour tous les utilisateurs. Le seul problème est que TTLS a été délaissé par certain vendeurs de matériel sans-fil. Pour avoir plus d'infos sur EAP-TTLS : *http://rbirri.9online.fr/howto/Freeradius_ _TTLS.html *http://www.alphacore.net/spip/article.php3?id_article=45
!!PEAP (Protected Extensible Authentication Protocol): Protocol développé par Microsoft, Cisco et RSA. Le processus d'authentification entre un client PEAP et un authentifiant se passe en 2 étapes : *La 1ère étape consiste à la mise en place d'un canal sécurisé entre le client et le serveur d'authentification. *La 2nde étape fournit l'authentification EAP entre le client EAP et l'authentifiant. Il est possible de choisir entre 2 types d'EAP à utiliser avec PEAP : __EAP-MS-CHAPv2__ ou __EAP-TLS__ *EAP-MS-CHAPv2 utilise un couple Login / Password pour l'authentification de l'utilisateur ainsi qu'un certificat sur le serveur d'authentification. *EAP-TLS utilise un certificats installé sur le client ou stocké sur une carte à puce ainsi qu'un certificat stocké sur le serveur d'authentification (Infrastructure PKI) __PEAP avec EAP-MS-CHAPv2 :__ PEAP avec EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2) est plus simple à mettre en place que l'EAP-TLS vu que l'authentification de l'utilisateur se fait par l'intermédiaire d'un couple Login / Password (au lieu de certificats ou de cartes à puce par exemple pour l'EAP-TLS). Seul le serveur RADIUS requiert un certificat. %%% De plus, le certificat du serveur peut être attribué par une Autorité Publique de Certification (CA Public) qui a été auparavant approuvé par le client (le certificat Publique existe déja dans le Trusted Root Certification Authority). %%% Dans ce cas la, il n'est pas demandé au client si il souhaite faire confiance a cette autorité de certification vu qu'il l'a déjà approuvé auparavent. PEAP-EAP-MS-CHAPv2 fournit une amélioration de la sécurité par rapport à MS-CHAPv2 en utilisant une authentification mutelle, prévenant ainsi qu'un serveur non-authaurisé puisse gérer une authentification. %%% PEAP-EAP-MS-CHAPv2 requiert que le client est approuvé le certificat du serveur sur lequel il va s'authentifier. __PEAP avec EAP-TLS :__ Les certificats fournissent une méthode d'authentification plus forte que le couple login / password. %%% PEAP avec EAP-TLS (PEAP-EAP-TLS) utilise un certificat pour le serveur d'authentification et un certificat ou un carte à puce pour l'utilisateur. Pour utilise PEAP-EAP-TLS, il est indispensable de déployer un infrastructure PKI (Public Key Infrastructure) *http://www.microsoft.com/technet/security/topics/cryptographyetc/peap_0.mspx *http://www.microsoft.com/resources/documentation/windowsserv/2003/standard/proddocs/en-us/sag_nap_prof_auth_peap.asp *Microsoft's "Solution for Security Wireless LANs" http://go.microsoft.com/fwlink/?LinkId=14843 *Network Fusion Article - http://www.nwfusion.com/news/2002/0923peap.html *Microsoft's WiFi page - http://www.microsoft.com/windows2000/technologies/communications/wifi/default.asp *Interesting Article on PEAP developments - http://www.sifry.com/alerts/archives/000085.htmlD
!!EAP-FAST (Fast Authentication via Secure Tunneling): EAP-FAST a été proposé par Cisco a l'IETF en février 2004. Comme l'EAP-TLS, EAP-FAST authentifie le serveur à l'aide d'un certificat et comme PEAP et EAP-TTLS, il authentifie le client en utilisant un couple login / password à travers un tunnel TLS crypté. La question est donc, que propose de plus cette méthode ? Comme son nom le suggère, EAP-FAST permet d'accélérer la ré-authentification losqu'un client "roam" d'un AP à l'autre. Relancer une authentification EAP-TLS ou PEAP requiert une clé publique et de nombreuses informations échangées entre le client et le serveur. Cela prend plusieur secondes et oblige la station à se ré-authentifier. Ce delai n'est pas désastreux pour la plus part des applicatifs utilisées qui accepteront une perte de paquets. Cependant, des applications comme le VoIP demande un temps de reponse de moin de 30 ms pour ne pas causer de gêne au client et assure un certain QoS. EAP-FAST utilise une clé partagé pour accélérer la ré-authentification 802.1X. Le principe des clés publiques est avantageux car les 2 parties peuvent s'authentifier entre elle sans connaitre l'autre aupparavant. Par example, le principe de clés publiques est utilisé quand vous accédez à un serveur Web en SSL. La cryptographie par clés secrètes est plus rapide que celle avec les clès publiques mais requiert que les 2 cotés voulant communiquer aient aupparavent la même clé. EAP-FAST peut utilisé des clés privées qui peuvent être partagées (configuration avancé) ou dynamique (assigné durant un long procéssus d'authentification par clé publique) http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_configuration_guide09186a0080262422.html
- Subscriber Identity Module). Une autre extension de l'EAP proposé par l'IETF (Internet Engineering Task Force) permettant l'authentification et la distribution des clés de session en utilisant le GSM-SIM [http://tim069.free.fr/wireless/EAP-SIM.jpg] *http://www.drizzle.com/~~aboba/EAP/AnalyisOfEAP.pdf ---- Prospère / Gortex EbooKée
Si votre connexion change de clef toutes les 5 minutes, le pirate ne pourra 'sniffer' que 5 minutes de données encryptées, ce qui n'est pas assez suffisant pour qu'il puisse casser la clef d'encryptage.
Chacun de ces types ayant des variantes (polarité inversée (RP), filetage à gauche, à droite, mâle, femelle, ...) plus des adaptateurs pour passer de N en SMA par exemple.
On identifie un connecteur, quel qu'il soit, en commençant par regarder son filetage :
Le fait d'avoir une broche n'a donc rien à voir avec les notions mâle/femelle dans le cas de connecteurs radio. C'est bien le filetage qui indique si c'est un mâle ou une femelle.
À noter enfin, qu'en anglais, un connecteur avec un trou est un __Jack__ alors qu'un connecteur à broche est un __Plug__.
Les pigtails et autres connectiques sont extrêment difficiles à trouver.
Il existe une importante variété de câbles, chacune disposant de ses spécificités techniques.
Lors de l'achat de votre câble, vérifiez sa fréquence maximale de fonctionnement ainsi que ses pertes au mètre.
Plusieurs câbles coaxiaux sont employés en WiFi :
Les clients d'un réseau WiFi utilisent de telles antennes pour se relier aux points d'accès, et par là même au réseau. Attention de bien respecter les polarisations : verticale pour se relier à une antenne omni, verticale ou horizontale pour relier deux directives entre elles.
Il existe plusieurs modèles d'antennes directives : panneau, paraboles pleines, paraboles grillagées, patch, Yagi (bande étroite, peu conseillée pour le WiFi), en polarisation circulaire (pour les liaisons lointaines en milieu urbain ou perturbé eau, océan, fleuve, etc.).
Ce type de câblage à une perte de 0,82 dB/m mais est principalement utilisé pour les réseaux Ethernet (BNC). Il est utilisable en WiFi (fréquence max. 3 GHz). A ne pas confondre avec le RG58 ordinaire, en cuivre rouge, utilisable lui jusqu'à 1 GHz uniquement. Le RG58CU a des pertes de 82.37 dB/100 m%%% Impédance : 50 Ohms [http://tim069.free.fr/wireless/cablerg58-1.jpg]%%% [http://tim069.free.fr/wireless/cablerg58-2.jpg]%%% ---- Flyer EbooKée
*Intégration des phénomènes évoqués plus haut (pour un calcul en condition réelles, très difficile à évaluer)
Evidemment ces résultats ne seront pas exacts dans notre atmosphère, il faut en effet rajouter tous les phénomènes évoqués dans la première partie, mais ils permettent de nous donner une idée des distances maximales, par exemple, on peut affirmer que sans antenne et avec des cartes wireless de 30mW, une liaison performante de plus de 2km est impossible à réaliser.
Ca ne sera pas une image dans le E-Book final.
(je vais essayer de le modifié pour que ça soit plus clair)
(je vais essayer de le modifié pour que ça soit plus clair)
Il est supporté par Linux de manière non officielle.
Howto Installation d'un dongle Inventel (à base de chipset Atmel) sous Linux: http://www.wikintoo.com/wifi-installation-du-dongle-inventel-usb-chipset-atmel-vt3.html
"Access Point" (AP) signifie Point d'accès, celui-ci permet de controler un réseau wirelesss, il est similaire à l'utilisation d'un hub RJ45. On le designe egalement sous le nom "node".
Il s'agit de l'adresse physique de la cartes Wifi. Cette adresse est codée en 48 bits par les constructeurs de matériels réseau.
Les adresses sur 48 bits sont uniques: l'IEEE attribue à chaque constructeur un numéro (6 chiffres hexadécimaux) spécifique. Le constructeur gère ensuite lui-même les autres bits disponibles de l'adresse. Ainsi, quel que soit l'origine du matériel, il est théoriquement impossible qu'il y ai des conflits d'adresses physiques sur le réseau.
On la trouve sous la forme ci xxx.xxx.xxx.xxx (xxx étant compris entre 0 et 255) pour la version IPV4. Cette adresse est unique et n'est allouée qu'à un seul ordinateur, permettant ainsi d'identifier chaque ordinateur. En IPv6, cette adresse aura la forme xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (avec héxadécimal), et implèmentera une sécurité renforcée ne nécessitant pas d'autre protocoles
"Channel" signifie canal en français. Le 802.11b est composé de 13 canaux avec une largeur de bande de 7 MHz (Voir: FréquencesDuWifi)(C'est pas plutot 5Mhz?)
C'est un protocole permettant d'attribuer automatiquement une adresse IP aux utilisateurs de ce réseau (Dynamic Host Configuration Ptotocol).
C'est un prologiciel(une sorte de bios) inclus dans la memoire du materiel lui permettant ainsi de fonctionner correctement .Il est important de mettre à jour son firmware regulierement ce qui ammenera un niveau de performance optimal du materiel .
Câble spécifique permettant de relier une carte wireless à une antenne.
Un routeur envoie des paquets de données de pc à pc ,il "aiguille" ces paquets de données sur le chemein optimal .Ce chemein optimal est choisit en fonction de plusieurs paramètres comme la vitesse ,le trafic ...
Encryptage utilisé dans les réseaux WiFi; il peut être de 64, 128, 256 ou 512 bits. Ce cryptage est executé par le matériel WiFi et est basé sur le RC4.
WiFi Protected Access - Systeme de Cryptage utilisé pour les transmissions sans fils remplancant le peu fiable WEP.
*Les __débutants__ désireux de découvrir la technologie du Wi-Fi et souhaitant une documentation complète.
*Les __particuliers__ désireux d'installer un réseau sans fil chez eux.
Ces antennes ont un gain variant de 0 à 15 dBi environ, sachant que les antennes les plus abordables financièrement parlant, et d'une taille raisonnable, sont celles situées aux environs de 8 dBi.%%%
''__Note:__ Il est possible de modifier certaines cartes ([D-Link DWL-650|BricolageDuDWL-650] par exemple) pour rajouter un connecteur antenne, mais la garantie de la carte est bien évidemment perdue. [Ajout d'antenne|BricolagesDeMatériel]''
La puissance des cartes Wifi va de 30 mW à 300 mW, habituellement les cartes que vous rencontrerez dans le commerce auront une puissance de 30 mW (env. 15 [dBm|Gain]).
Le prix des cartes "standards" de 30 mW va de 30 à 60 euros, cet écart vient de la technologie utilisée par la carte (802.11b/b+ - 802.11g/g+) (environs [60 euros|http://charlie44.com/fiche_prodp.asp?nom=Neuf-19/06/200311:56:37HOANGBUREAU] pour une carte 802.11g+). L'inconvénient est qu'elles sont très souvent dépourvues de connecteur d'antenne.
* Vous découvrez le wifi et vous voulez vous connecter à votre AP qui se situe à une dizaine de mètres.
;:Ces cartes sont assez intéressantes car elles possèdent généralement un connecteur antenne sous leur coque, la modification est donc à la portée de tout le monde.
> manfid 0xd601, 0x0005%%%
dans un fichier de /etc/pcmcia, pour qu'elle soit détectée automatiquement; voir [http://www.handhelds.org/z/wiki/IpaqHardwareCompatibilityWireless] pour plus de détails.
Pour permettre un routage efficace et intelligent, il faut utiliser un routeur.
[Configuration d'un AP en Pont Réseau|ConfigurationBridge]
Dans la plupart des installations de wifistes les AP (wap11, Dlink ) sont malmenés par le vent,la pluie, etc...
* la fixation de l' AP
* Faire passer les fils proprements.
En premiere installation j' utilisais une boite en bois, recouverte de sacs poubelle. => mauvaise chose, le bois recouvert de plastique empeche de respirer l' installation. Si il est vrai qu' il faut se méfier de l' eau en elle meme il faut se méfier aussi et surtout de l' humidité.
!2) La fixation de l' AP
La fixation est tout aussi importante que l' étanchéité.
Petite info: pour une antenne omni, afin d' exploiter au maximum
Sinon faute d' argent, l' utilisation de sangles (pour les toits de voitures par exemple ) peut faire l' affaire, dans ce cas là vérifier
Jamais géré et qui reste souvent sans réponse. Le meilleur moyen que j' ai trouvé jusqu' à présent a été de faire monter les deux fils le long de la goutierre attachés avec du rizla.
Au niveau du toit, la meilleur solution semble de bloquer les fils
sur les tuiles scélées. Et sourtout de faire des noms afin que les fils
En cas de vent un fils tendu passant sous des tuiles peut les faires voler.
Un HotSpot est, dans le jargon Wifiste, un lieu ou est déployé un accès Intranet ou Internet via l'utilisation des technologies de transmission sans fil comme le 802.11b (mais pas seulement).
Le BlueTooth est un protocole de liaison sans fil à courte distance :
La liaison radio est soumise à des contraintes fortes : en plus des traditionnels problèmes de fading (multi-trajets mais aussi AbsorptionDesOndes par l'eau), on doit faire face à de nombreuses interférences avec d'autres produits dans la bande ISM, des fours micro-ondes, des produits utilisant le protocole 802.11b (WiFi) ou d'autres produits Bluetooth (non synchronisés).
*[Une comparaison entre le WiFi et le BlueTooth|BluetoothVsWifi]
AirPlus est le nom d'une gamme de produit WiFi de Dlink :
Un VPN est un réseau privé très courament utilisé par des entreprises pour relié plusieurs de ses sucursals par exemple a fin de les réunir en un seul réseau "virtuel"
Il suffit que tous les éléments voulant se relier au VPN aient un média commun (Internet par exemple) et bien sur des protocols de tunnelage standart installé.
__WEP signifie "Wired Equivalent Privacy".__%%%
Norme de cryptage implémenté dans la norme IEEE 802.11b/g (Wi-Fi)
L'université de Californie à Berkeley a démontré qu'il existait une faille de sécurité pouvant compromettre la confidentialité de données transmise sur le WLAN.%%%
Il est préférable, si cela est possible, d'utiliser le [WPA|WPA] proposant une puissance de chiffrement nettement plus fiable.
* Statiques : elles sont insérées manuellement dans la configuration des cartes et des AP.
#Le destinataire verifie l'intégrité du paquet en vérifiant le hashage CRC-32 qu'il a recu et celui qu'il a créé
Pour le démonter, il suffit d'enlever les vis en dessous des capuchons de la partie bleue, la partie noire n'ayant pas de vis.
Le voici sans sa carcasse, à noter que pour enlever la partie noire, il faut enlever la gaine vissée sur les connecteurs RP-TNC, plutôt difficile à faire...
Connecteur MCX coté fil.
Numéro de série encore, après une recherche sur Google, avec comme mot clé 'GL2422' on s'aperçoit que cela aboutit à divers AP et cartes 22 Mbit (mais officiellement le LinkSys ne fait pas de 22mbit).
Voici la partie contrôleur du WAP11 qui gère la carte WiFi et toute la partie réseaux.
En faisant une petite recherche sur [google|http://www.google.fr/search?q=gl2422], on pourra probablement facilement trouver des drivers pour d'autres systèmes (bsd entre autre) ou trouver d'autres firmware à télécharger.
*__Prix :__ [66 Euros|http://www.charlie44.com/fiche_prodp.asp?nom=1652]
La voila non démontée : elle a un connecteur pour antenne externe du RP-SMA, aussi une diode verte montrant l'activité du trafic. Et un cache qui masque l'intérieur.
''En faisant une [petite recherche|http://www.google.fr/search?q=gl2422] sur [google|http://www.google.fr/search?q=gl2422], on pourra probablement facilement trouver des drivers pour d'autres systèmes (bsd entre autre) ou trouver d'autres firmware à télécharger sur la bête. (Ceci n'est aussi qu'une opinion ; qui ne saurait engager ni le site, ni l'auteur).''
__Montez votre réseau sans fil WI-FI__%%%
http://www.microapp.com/fiche_produit.cfm?ref_produit=4025 %%%
http://www.canardwifi.com/guide %%%
Ce guide pratique et tout en couleur délivre toutes les informations utiles pour installer, configurer et profiter des ressources du réseau sans fil Wi-Fi.%%%
__802.11 et les réseaux sans fil__%%%
Dans l'ensemble très technique, ce livre est destiné à découvrir les spécificités des normes 802.11x dans son ensemble.%%%
__Wi-Fi par la pratique__%%%
__Reseaux sans fil amateurs, installation et mise en oeuvre__%%%
__Build Your Own Wi-Fi Network__%%%
__Wi-Fi, déploiement et sécurité__%%%
http://www.dunod.com/pages/ouvrages/ficheouvrage.asp?id=48433 %%%
http://www.livrewifi.com/ %%%
Prospere -> [ThomasGee|http://www.canardwifi.com/]
Voici la liste des démontages de matériel WiFi :
*L'AP [OFFICECONNECT 3CRWE52196 802.11b|Démontage3CRWE52196]
* Une équipe fixe située à Penestin.
Les distributions RedHat sont simples à installer et à configurer.
Un dossier de subvention est en cours de réalisation, sa réussite permettera l'accès à la fibre optique du réseau de Nantes (Oméga) et des subventions permettant le commencement d'un réseau sur la ville.
L'association va acheter deux cartes wifi 802.11b PCMCIA avec deux adaptateurs PCI-PCMCIA, deux pigtails de deux mettres et deux parabole SD15 de 13 dB chacune.
*[Interface web Nantes-Wireless|InstallationDeWifidog]
*[L'infrastructure officielle du réseau Nantes-Wireless (NWN)|DevInfrastructureNWN]
Dans le cadre d'un projet de deuxième année d'école d'ingénieur, comprenant 2 élèves( Cécile Catheline et Julien Barberet), nous sommes amené à travailler avec l'association Nantes-Wireless pour l'aider à l'expansion du réseau WIFI métropolitain nantais.%%%
# Phase de bibliographie:%%%- présentation:%%%[http://julien.barberet.free.fr/bibliofin_fichiers/frame.htm]%%%- rapport:%%%[http://julien.barberet.free.fr/biblio.pdf]%%%
# Phase de modélisation:%%%- présentation:%%%[http://julien.barberet.free.fr/modelisation_fichiers/frame.htm ]%%%- rapport:%%%[http://julien.barberet.free.fr/modelisation.pdf]%%%
# Phase de réalisation:%%%- présentation:%%%[http://julien.barberet.free.fr/realisation_fichiers/frame.htm ]%%%- rapport:%%%[http://julien.barberet.free.fr/realisation.pdf]%%%
* Tout d'abord, de pages PHP qui permet d'obtenir de manière automatique (en remplissant tout de même quelques champs auparavant), les fichiers de configuration:%%%
Je vais vous décrire comment installer et configurer votre point d'accès Linksys BEFW11S4 v2 de la manière la plus complète possible.
Le Linksys BEFW11S4 est un point d'accès pouvant de connecter à un modem cable/dsl et pouvant faire office de switch 4 ports.
Un serveur DHCP est configuré de base, il vous suffit donc de vous connecter à son réseau (Wireless ou filaire) pour le configurer.
!!3) Configuration
!b) Détail de la configuration
''Si un poste du réseau DHCP 1 veut accéder au serveur FTP d'un poste du réseau DHCP 2 (abordé par la suite) elle doit entrer l'adresse IP du BEFW11S4 qui change en fonction de la durée d'allocation d'une adresse en DHCP, si un nom est configuré il lui suffit de rentrer ftp://nom_du_routeur et elle sera automatiquement redirigé vers le server FTP, elle n'aura pas a chercher l'adresse du routeur.''
La version du firmware installé sur le routeur, les firmwares sont disponibles sur le site de Linksys (www.linksys.com).
L'adresse MAC est une adresse unique qui ne peux (ne doit pas plutot) être modifiée au risque de ne plus être unique et de créer un conflit si elle doit communiquer avec une carte ayant la même adresse MAC.
Pour la selection du masque, les personnes ayant un minimum de connaissances réseau se rendront tout de suite compte que le routeur ne peux communiquer sur son interface locale qu'avec un maximum de 252 postes (0, 255 et adresse du routeur exclue) ce qui est largement suffisant.
Cette partie sers à la configuration du réseau Wireless.
SSID Broadcast signifie que le routeur accepte les connection provenant de quelqu'un ayant configuré ANY comme SSID, si cette option est "disable" les personne voulant se connecter à l'aide d'un utilitaire de scan (comme celui fourni avec windows XP) ne verront pas le point d'accès (cela ne représente pas vraiement une sécurité).
Configuration des paramètres WEP.
Pour les autres options de configuration reportez vous aux autres sections de ce Ebook.
Pensez bien à appliquer vos modifications.
Permet de remettre à zéro toutes les modifications que vous avez faites sur le routeur (le bouton reset se contentant de remettre à zéro qu'une partie du routeur).
Cette page permet d'afficher en temps réel les informations sur la configuration du routeur
Informations sur la configuration de l'interface local du routeur.
Cette page permet de configurer toutes les options relatives au server DHCP pour votre réseau local.
Nombre de postes en DHCP sur le réseau. La plage sera définie en fonction de l'adresse de début et du nombre de postes.
Affiche les clients ayant recut leur configuration via DHCP (le server DHCP étant ici désactivé aucun client n'est affiché).
Le logging permet de vérifier les trames circulant entre le réseau local et le WAN. Il est important de rappeller que le Logging ne doit s'effectuer que pour résoudre des problèmes et non pour espionner les usagers (ce qui est interdit par la loi).
Depuis cette page vous pouvez changer de version de Firmware (en selectionnant ce dernier sur votre disque dur).
Les paramètres avancés permettent de configurer le routeur de manière plus précise.
**! Section Filters
Cette option permet d'interdire l'accès à internet à certains postes en précisant leur adresse MAC, plus fiable que la méthode avec les adresses IP, possibilité de bloquer jusqu'a 50 adresses MAC.
Permet d'accéder à l'interface de configuration depuis internet (ou réseau local connecté au WAN).
Pensez à configurer le Port (attention aux conflit qui peuvent être crées avec la section forwarding.
Vous pourrez configurer en tapant l'adresse suivante: http://adresse_wan_routeur:port
Permet de changer le Firmware depuis internet (ou réseau local connecté au WAN).
Permet de définir manuellement ou automatiquement la taille des trames PPP.
Le poste 1 désire acceder au server FTP situé sur le Réseau DHCP 2, il doit donc passer par le routeur, pour que tout fontionne ce dernier doit être en mesure d'interpreter les informations venant du poste 1, il suffit donc de remplir ce formulaire:
IMPORTANT: Faites attention au Working Mode, si vous mettez Gateway il vous sera necessaire de configurer le forwarding (voir plus haut) mais vos client DHCP recevront toutes les informations relatives à leur connexion internet par exemple. Si vous selectionnez routeur, plus besoin de forwarding mais vous devrez reconfigurer le server DHCP, sinon vos clients n'auront plus accès à internet (dans le cas du schéma ce dessus).
Vous pouvez aussi afficher la table de routage actuellement configurée sur le routeur.
Cette section permet de définir les routes manuellement (jusqu'à 20 routes)
Voici un exemple de configuration d'une route statique:
Si qqn à plus d'infos -> [Manurapide] Dans le cadre d'un réseau à grande échelle, une Dmz est un sous réseau, (dans le cas du routeur, un hote, donc un ordinateur) qui permet dans un premier lieu, d'acheminer des trames sans destinations, afin de les analyser. Dans un second lieu, on utilise ce sous réseau (ou hote) pour faire tourner des services externe ou semi-externe au réseau, comme un site web ou un extranet qui doivent etre accessible de l'exterieur, car dans la plupart des cas, une dmz se trouve entre 2 firewall, celle du Lan et du Wan.
Firewall Firewall
Cas n°1: une trame arrive d'internet, sur le port 21, vu que vous avez un port forwarding, le routeur redirige la requete vers le, qui traverse les 2 firewalls que vous avez préalablement configuré. l'ordinateur contacté réponds alors à la demande, tout se passe bien.
Cas n°2: votre hote, qui se trouve dans la dmz fais tourner un serveur Web. Il est configuré pour répondre sur le port 80. Biensur, cette ordinateur dispose de tout les softs et matériels dernier cri pour contrer des problêmes de sécurités et matériels. Une trame arrive sur le routeur, sur le port 80, le routeur regarde dans sa liste de port forwarding, ne trouve rien, mais il connait une adresse de dmz. Il redirige la requete vers l'adresse de la dmz. Le serveur est contacté sur le port 80 (sa tombe bien, c'est un serveur web :D). Il réponds, tout va bien.
Globalement, on peut considerer la dmz comme une sorte de redirection par défaut... en espérant vous avoir éclaircis... [merci de corrgier les fautes... ou de modifiers si nescessaires... ManuRapide]
Il est possible de faire du filtrage MAC (idem vu précédemment) pour le réseau wireless seulement.
Ce point d'accès routeur est très intérssant du fait de son (très) faible coût par rapport aux autres marques (150 euros) et permet de réaliser une configuration assez (voir très) complète le seul point négatif étant l'absence de manuel complet expliquant sa configuration (juste un manuel de démarrage rapide) mais maintenant le problème est réglé :) .
Ouf !!!! 3h30 et 54 images plus loin ca fé du bien d'avoir fini, n'hésitez pas à completer ou à corriger les fautes (orthographe y doit y en avoir plein :))
Configuration Minimal :%%%
Guide Technique : [http://www.usr-emea.com/loc-frnc/modem_files/2216-fr-ds.pdf]
Drivers : [http://www.usr-emea.com/loc-unkg/modem_files/22xx_Utility.Driver.exe]
Prix : 69 euros (chez Charlie44 : [http://www.charlie44.com/fiche_prodp.asp?nom=Neuf-25/02/200313:21:51HOANGBUREAU])
Il suffit de renomer un fichier dans les drivers%%%
l'utilitaire de config est plus coloré (mais c'est un detail) et comporte deux option 4x config : enable disable%%%
(Source : [http://www.wifi-vitry.net/article.php3?id_article=15])
Trepia est un logiciel de messagerie instantanée pour réseaux WiFi, il est librement téléchargeable à l'adresse suivante : http://www.trepia.com/download/ %%%
Trepia permet aux personnes d'un réseau sans fil de communiquer entre eux très facilement, il suffit pour cela de lancer le logiciel et de cliquer sur la photos de la personne avec qui vous désirez communiquer.
L'installation se fait très facilement, il suffit tout simplement de cliquer sur l'icône du fichier d'installation et d'indiquer l'endroit où vous voulez installer le logiciel.
!!3) Configuration de Trepia
* Remplissez les champs et profitez en pour insérer votre photo à votre profil.
Le protocole de routage que nous allons utiliser sera OSPF, ce protocole très généralement utilisé dans les WAN filaires et à le principale avantage d'être un protocole "ouvert".%%%
* Ajout d'une connection sans fil
Et tout ceci dynamiquement, ce qui simplifiera de beaucoup la tâche d'administration du réseau.
StumbVerter est un logiciel permettant d'afficher le résultats d'un WarDriving sur une carte. %%%
Le terme "WarDriving" vient des états unis et à été francisé par Wifi-Montauban en "Trébucher Sans Fil" :
Vous avez besoin d'un ordinateur ou d'un PDA avec une carte WiFi, d'un GPS, et de deux logiciels :
Ensuite vous avez juste a prendre votre voiture et vous baladez de point en point avec votre matériel sur le siège passager, votre ordinateur enregistrera tout ce qu'il trouve comme réseau sans fil.
super tout le monde peut modifier ces infos....
La SW24003 élimine tous les problèmes de pertes dans les liaisons antenne/module WiFi : %%%
Pour le WiFi, par exemple on peut difficilement faire plus de 10km avec du matériel « classique » (nous aborderons ce point plus loin).
!!! Installation d'un réseau sans fil avec point d'accès :
* Vous pouvez vérifier si la carte est bien installée en faisant clic droit sur l'icône "Poste de travail", "propriétés", "matériel", puis "Gestionnaire de périphérique".
* Lors de la configuration d'un réseau avec AP (point d'accès), il est important de configurer tout d'abord un poste qui servira à configurer le point d'accès.
!!3) Configuration du premier PC
* Cliquez sur "Join" pour vous connecter. Allez dans l'onglet de votre logiciel qui affiche les statuts de la connexion :
!!4) Configuration du point d'accès
* L'interface de configuration dépendra des modèles de points d'accès, le mieux est de suivre la documentation fournie avec votre matériel, je vais tout de même expliquer comment faire la configuration de base d'un WAP11/BEFW11S4.
* Dans cette fenêtre vous pouvez entrer les informations concernant la configuration de votre réseau Wireless.
;: Notez qu'avec un serveur DHCP sur un point d'accès si il n'y a pas de [WEP|WEP], vous diffusez Internet dans tout votre quartier, n'importe qui peux se connecter dessus sans aucune difficultés.
* Vous pouvez configurer le nombre de PC que vous souhaitez voir utiliser le DHCP, ainsi que l'adresse de départ pour l'attribution.
* Si vous avez une partie de votre réseau en adresse IP fixe, veillez à ce qu'elle ne soit pas inclut dans la plage d'attribution DHCP.
;: Sur mon réseau par exemple j'ai des adresse IP fixe en dessous de, je fait donc commencer la plage à cette adresse.
* Les autres onglets permettent des configurations plus avancées mais je ne les décrirai pas ici.
Votre point d'accès est maintenant configuré, n'importe quel PC peut se connecter dessus, exemple avec un poste sous Microsoft Windows XP
!!5) Configuration d'une machine cliente.
Sous Microsoft Windows XP, un utilitaire est fourni de base permettant la détection des réseaux wireless, généralement il fonctionne sans problème, nous allons donc l'utiliser pour nous simplifier la tâche.
* Et sélectionnez "afficher les réseaux sans fil disponible".
* Cliquez sur connexion et le réseau Wireless est configuré.
!!6) Configuration du WEP.
* Cliquez sur "Paramètres avancés" dans la fenêtre affichant les réseaux.
* Cliquez sur "configurer" vous pouvez maintenant configurer le cryptage.
Si vous ne voulez pas utiliser l'outil de Windows XP ou si il y a un quelconque problème, il suffit de décocher l'option "utiliser Windows ..." dans la fenêtre ci dessus.
* Vous pouvez vérifier si la carte est bien installée en faisant clic droit sur le poste de travail, propriétés, matériel, puis gestionnaire de périphérique.
* Lors de la configuration d'un réseau sans AP (point d'accès), il est important de configurer tout d'abord un poste complètement, ensuite les postes suivant se connecterons sur ce poste en quelque sorte. (<= Tu es sur de ça ??)
!!3) Configuration du premier PC :
* Choisissez l'identifiant de votre réseau (SSID), NE LAISSEZ PAS ANY POUR LE PREMIER POSTE.
* Voilà votre premier poste est maintenant configuré, passons à la suite.
!!4) Configuration du deuxième PC :
L'autre poste utilisé fonctionne sous Windows XP, un utilitaire est fourni de base permettant la détection des réseaux wireless, généralement il fonctionne sans problème, nous allons donc l'utiliser pour nous simplifier la tâche.
* Et sélectionnez "Afficher les réseau sans fil disponible".
* Sélectionnez votre réseau, puis cliquez sur "connexion" et le réseau wireless est configuré.
Vous pouvez utiliser du wep avec l'outil intégré à windows XP, pour cela cliquez sur "Paramètres avancés" dans la fenêtre affichant les réseaux.
* Cliquez sur "configurer" vous pouvez maintenant configurer le cryptage.
* En cas de problèmes, si vous ne voulez pas utiliser l'outil de windows XP ou si il y a un quelconque problème, il suffit de décocher l'option "utiliser Windows ..." dans la fenêtre ci dessus.
Dans le logiciel fourni avec votre carte, si vous avez des onglets affichant la qualité de la liaison il ne fonctionnent généralement pas si il n'y a pas de points d'accès donc ne soyez pas étonné.
Nantes-Wireless tiendra un stand au forum pour y présenter ses objectifs et faire des démonstrations de matériel WiFi.
*Carte wifi
**portée du wifi
**rentabilisation par rapport au filaire
**lecture d'un fichier audio ou vidéo en streaming
*La signalisation des points d'accès grâce au CraieFiti.
Passage en IPv6 du backbone filaire.
Implémentation d'IPsec sur le backbone filaire.
[Plan des points d'accès wifi|http://auth.nantes-wireless.org/hotspots_map.php]
L'association nantes-wireless, qui milite depuis 5 ans pour le développement des réseaux sans-fil communautaires vous sollicite dans le but de monter un hotspot place du Commerce à Nantes.
Le dégroupage rapide et efficace de la région nantaise a satisfait de nombreux internautes, c'est pourquoi, conscients qu'un hotspot place du commerce serait à la fois une publicité intéressante pour vous, et également une bonne démonstration de notre activité, permettrait à de nombreux wifistes de disposer des joies d'internet à la terrasse des nombreux cafés qui bordent la place la plus fréquentée de Nantes.
Ce portail sur lequel figurerait votre logo aux côtés du notre, redirigera le client automatiquement vers votre page d'accueil, il sera également sécurisé, entretenu, et surveillé par l'association nantes-wireless.
Conscients qu'une telle proposition puisse vous sembler audacieuse, elle apparaît nécessaire pour sensibiliser les internautes aux technologies sans-fil, et permettrait de montrer à vos concurrents l'intérêt que vous portez à ces technologies.
__18h00 :__ Fin des tests%%%
''Fin des tests''
L'architecture en acier du batiment n'est finalement pas une contrainte pour le réseau sans fil.
Après un bel étalage du matériel disponible sur la plage arrière de la FanfoueMobile, et quelques problèmes de pilotes et de cartes intégrées. Le portable de Mistyk ayant une carte WiFi intégrée, nous avions un scratch toutes les 2-3 secondes sur NetStumbler, même avec sa désactivation. Quand à Fanfoue son pc installait systématiquement le pilote d'une ActionTec usb pour le module WiFi usb (même chipset).
Finalement nous nous sommes retrouvés sur la butte st Anne pour essayer de découvrir le problème, sans succès. Puis nous nous sommes séparés.
Vérification de la matière de la boîte, ça ressemble à de l'aluminium collé sur du carton à priori.
''source : http://www.saunalahti.fi/elepal/antenna2.html''
Mais après vérification, on s'apperçoit que le diamètre des boîtes de Pringles Européenes fait plutôt 75 mm. %%%
Service Set Identifier également appelé SSID. Il en existe plusieurs formes dont le BSSID (Basic SSID) et le ESSID (Extend SSID).%%%
Lorsque un client voudra s'assigner à un AP, il devra fournir cet identifiant.
*!BSSID - Basic Service Set Identifier
*!ESSID - Extended Service Set Identifier.
L'ESSID est une chaîne de caractères permettant d'identifier un réseau Wifi.%%%
Cela permet de mettre en place une architecture proposant du [Roaming|RoamingItinérance], il suffit pour cela que les Point d'Accès aient le mêmes ESSID.
Lors de la configuration, le champ correspondant à l'identifiant ESSID porte différents noms : Nom de réseau, SSID ou ID SSS.
La configuration de l'SSID se fait au niveau de l'AP (exemple avec un AP DI-624) :
__DHCP (Dynamic Host Configuration Protocol)__
DHCP est un protocole permettant de configurer automatiquement l'environnement IP des équipements réseau : adresse IP, masque de réseau, passerelle par défaut, adresse de serveurs DNS...
Ces dispositifs permettent de s'affranchir des reconfigurations manuelles des postes, suite à des déménagements ou des modifications d'architecture.
DHCP est un protocole client/serveur défini par les RFCs :%%%
RFC2131 Dynamic Host Configuration Protocol%%%
Le mécanisme DHCP définit les étapes de négociation suivantes :
__1. Le client DHCP émet__, par broadcast sur le réseau,__ une trame de découverte DHCP__, "DHCP Discovery", qui permet de découvrir les serveurs DHCP du réseau et demander l'obtention d'une configuration IP.
Il signifie son accord au serveur DHCP dont il retient l'offre, par une trame de broadcast "DHCP Request"
Si le serveur sélectionné par le client DHCP est capable de satisfaire les options souhaitées, il acquitte la demande en émettant une trame "DHCP Ack", il lui confirme l'adresse IP et les paramètres associés, et enregistre le "Binding" dans sa base d'information.
Il est important de préciser que si un point d'accès est configuré avec un serveur DHCP sans aucun cryptage (WEP, WPA ...), l'accès au réseau sera extrèment simple, vu que le Point d'Accès offre à qui le demande l'ensemble de la configuration permettant l'accès.
Un plage d'adresse IP se configure depuis le serveur DHCP (votre point d'accès par exemple) permettra de déterminer le nombre de PC qui pourront se connecter à votre réseau et leurs adresses IP.
Adresse de fin|
Le problème qui peux donc se poser est le suivant, vous désirez définir une grande plage d'adresses IP mais vos serveurs ayant des IP fixe se trouve en plein milieu de cette plage.
Adresse de fin|
L'exclusion peut se configurer de 2 manières. Le plus souvent une plage d'exclusion nous aurons donc :
Adresse de fin|
Petit nouveau du monde des "Wifistes" (barbarisme etrange...)
Alors, moi, j'ai pas beaucoup de matos... juste deux cartes USR 22Mbps Wireless PCI Adapter (c'est bien joli, tout ça...) pour relier mon PC qui se balade beaucoup dans mon appart a un autre (logique) fixe et branché sur NC, me servant aussi de serveur de stockage.
Mais, je suis tres enthousiaste a une ouverture sur l'exterieur (quand se sera officielement autorisé).
3 SR :: (Reseau wifi privé) (Reseau LAN privé) (Node publique gab.nantes.fw)
*Ip Fixe sur le net 1024/128
> Recherche des personnes pour un test de liaison wifi sur Gesvrine (en posant une antenne sur le gymnase par exemple) ou a la rigueur de Toit à Toit.
Le WarChalking, traduit en français par CraieFiti, permet de rendre visible les réseaux sans fil en utilisant une simple craie.
Fabricant de matériel Wi-Fi racheté par Cisco.
Les pages de garde et autres fichiers :
*Quelle niveau avez-vous sur le wifi ?
*Allez vous achetez du matos wifi bientot ?
*Seriez-vous intéresser pour faire des dons de matériels/financier pour contribué au dévellopement du réseaux ?
Pour le Wifi, c'est exactement le même principe.%%%
Au moment ou un client mobil "sort" dans la zone de couverture d'un AP et "entre" dans la zone de couverture d'un autre AP, le passage de l'un à l'autre est complètement transparent pour le client mobil qui peut continuer d'utiliser sa connexion sans-fil comme s'il était à son emplacement initial.
Par exemple toutes les 100ms le point d'accès peut transmettre un signal de balise (beacon signal) qui contient une marqueur temporel pour la synchronisation avec le client, une carte de trafic, une indication des taux de transfert supportés, ainsi que d'autres paramètres.%%%
Si ce signal est jugé insuffisant ou faible le client en roaming peut décider de s'associer à une nouvelle station.
Les schémas d'économie d'énergie habituels posent des problèmes avec le système WLAN. Ceux-ci mettent généralement le système en mode veille (peu ou pas de courant consommé), lorsqu'une inactivité se produit pendant une période de temps définissable par l'utilisateur. Malheureusement lorsque le système est dans cet état, il peut manquer de la transmission d'informations importantes.
Afin de supporter les clients qui entrent en mode veille régulièrement, le 802.11 inclut un buffer (tampon) dans la borne d'accès afin de stocker les messages du client. Les clients en mode veille doivent récupérer ces messages à intervalles réguliers. Les bornes d'accès ont un mécanisme pour effacer les messages qui n'aurait pas été récupérés après un certain laps de temps.
Ceci signifie que vous pouvez acheter des cartes WLAN de fabricants différents et les utiliser pour communiquer et ce quelque soit la marque du point d'accès. Ceci permet à l'utilisateur de trouver le matériel répondant spécifiquement à ses besoins.
Il a été dit dans le passé que la compatibilité n'était pas parfaite, mais ce n'est plus le cas aujourd'hui avec la mise en place de standart comme le 802.11b et le 802.11g. Mais l'arrivé de norme propriétaire ayant comme but le doublement du débit, comme le Xtrem G pour Dlink, (802.11g+, 108 Mb) bride le materiel à la vitesse nominal défini par la norme (802.11g, 54 Mbits pour notre exemple) en cas de mélange des marques sur le réseau.
Avant de configurer vos cartes, verifiez que vous avez la derniere version du firmware, si ce n'est pas le cas, upgradez le, c'est une source de probleme notament avec les Orinoco.%%%
!!1) Configuration des interfaces :
Et cherchez la ligne mentionnant votre interface. Son nom est composé de wi ou awi et un chiffre (la pluspart du temps 0), il y en a autant que de cartes wireless. Si votre cartes est une Aironet, le prefixe est alors an. Une fois trouvée, elle se configure comme une carte reseau standard, a l'aide de l''outil ifconfig.
''ifconfig wi0 netmask up configure et active (up) l'interface (wi0) avec l'ip et le netmask 255.255.255.''
__Sous OpenBSD__, pour que la carte soit configurer a chaque demarrage, ajoutez dans votre repertoire /etc un fichier :
__Sous NetBSD__, le fichier est ifconfig.if exemple dans :
__Sous FreeBSD__, il faut rajouter la ligne suivante dans le fichier /etc/rc.conf :
ifconfig_wi0="inet netmask"
La configuration se fait de la meme maniere sous les 3 BSD, la seule difference est le nom de la commande, sous FreeBSD et OpenBSD la commande est wicontrol, alors que sous NetBSD, la commande est wiconfig. Les arguments sont les memes a quelques exeptions, mais nous ne les utiliserons pas, pour plus d'informations, reportez vous aux pages man.
*__p__ : defini le type de reseau, les deux possibilitées sont 1 pour centralisé, et 3 pour peer-to-peer
Pour automatiser la configuration du reseau,sous NetBSD et OpenBSD rajoutez la ligne que vous venez d'utiliser precedement precedé d'un ! dans les fichiers ifconfig.if ou hostnam.if que vous avez crées precedement. Sous FreeBSD, ajoutez la ligne que vous avez tapez dans le fichier /etc/rc.local.
!!2) Ajout ou modification d'un article
Lorsque vous modifiez une page, si la mention __"EbooKée"__ figure tout en bas, veillez à la modifier par la mention __"NonEbooKée"__. Cela permet aux rédacteurs de savoir si il est nécéssaire de revérifier le contenu de la page ou non.
A la fin de la page veuillez __indiquer votre pseudo__ si vous jugez votre modification importante. Chaque partie est rédigée par un auteur, si vous jugez votre travail plus conséquent que le précédent, indiquez votre pseudo à coté de celui de l'auteur d'origine, sinon indentifiez vous dans la section [Comment a été rédigé l'ebook|RedactionEbook].
''Note : ceci n'est pas obligatoire, si vous ne souhaitez pas figurer dans l'Ebook vous le pouvez''
*__Fin Novembre 2002:__
__Sujet:__ Analysez une méthode de transmission de données informatique de votre choix (câble RJ45, fibre optique, radio)%%%
__A rendre:__ Fin Janvier 2003%%%
;:Après environ 50h de Travail la première version de ce qui deviendra l'Ebook était née. Pendant la rédaction de ce dernier j'avais demandé l'avis de personnes sur IRC et diffusé les toutes premières versions pour leur demander leur avis, vérifier que je n'avais pas fait trop d'erreurs. Ils me demandèrent, quand j'aurais fini de leur envoyer la version finale.
;:L'Ebook est fini, il ne reste plus qu'à intégrer la partie Sécurité.
;:Après un nuit blanche, Lessyv m'annonce que sa partie est finie, je l'intègre donc, sauvegarde la version pdf et l'upload sur mon compte chez free.fr. Puis j'annonce sur quelques forums la mise à disposition de cet ebook.
;:Un peu plus d'une dizaine de sites parlent de l'Ebook dans leurs News. Marc souhaite que l'Ebook devienne la documentation officielle Wireless-fr.org et se joint au projet, l'Ebook prend une dimension nationale.
;:Environ 300h de travail au total auront été nécessaires à la réalisation de l'Ebook, pour que cet Ebook reste dynamique et d'actualité, une version pdf sera réalisé au maximum tous les mois, incluant vos ajouts et modifications.
Nous traiterons ici de toute la sécurité environnant le protocole réseau 802.11b, car il est le plus répandu et le plus utilisé en ce moment, nous ne ferons qu'évoquer les protocoles à venir, tel que le 802.11i, bien plus puissant en terme de sécurité, car ce protocole tire la leçon de toutes les erreurs permettant une infiltration depuis un réseau 802.11b.
Lors de l'officialisation de la norme 802.11b par l'IEEE (Institute of Electrical and Electronics Engineers) peu de monde se préoccupait de ce genre de technologie, sa validation a donc été vite effectuée sans trop faire attention à la sécurité. Maintenant, cette norme est devenue une référence en matière de communication informatique sans fil, et son très faible niveau de sécurité se retrouve ici remis en cause, c'est pourquoi de nombreux cryptages et autres solutions techniques sont venus en aide au 802.11b.
Par défaut la norme 802.11b dispose d'un cryptage nul, en option on dispose d'un cryptage, appelé WEP, pour « Wired Equivalent Privacy », ou « Intimité Équivalente à celle d'un câble ». De nos jours la plupart des intéressés considèrent le WEP comme un cryptage fiable, tout simplement car les constructeurs le qualifient tel quel, il est donc utilisé comme seul cryptage dans les entreprises, lors de conférences, par nous, particuliers, alors qu'il est prouvé qu'il fournit des performances bien médiocres face aux promesses d'intimité comparables à un réseau câblé.
Pour parer à ça on peut utiliser un renforcement au niveau même du cryptage, une modification du WEP ou bien une gestion différente de celui-ci ; la plupart de ces méthodes ne sont pas sûres non plus, certes à un niveau d'ouverture vers l'extérieur bien inférieur à une pseudo sécurité WEP.
On distingue 3 générations de sécurité WiFi :
* 1ère : Le WEP, basé sur le chiffrement RC4, a clé fixe
* 2nd : Le WPA, toujours basé sur le RC4 mais utilisant des clés dynamiques et un système poussé d'authentification de l'utilisateur.
On dispose de 24 bits pour les vecteurs d'initialisation, or ces vecteurs sont incrémentés à chaque trame, il suffit d'écouter les communications pendant 2^24 = 16,8 millions de trames pour pouvoir réussir à identifier des données, car le vecteur est le même que 16,8 millions de trames avant et la clé est toujours la même, ça correspond à 4 ou 5 heures de communication.
Un système de contrôle de l'intégrité des trames est implémenté dans le WEP, le CRC32, mais ce système utilisé avec le WEP comporte une faille permettant la modification de la chaîne de vérification du paquet à comparer à la chaîne finale issue des données reçues, ce qui permet à un attaquant de faire passer ses informations pour des informations valides.
Le standard 802.1x normalisé par l'IEEE pour sécuriser des transmissions à base de 802.11 se décline en deux sous parties importantes. Une gestion et une création dynamique des clés à utiliser avec le WEP du 802.11 et une authentification de l'utilisateur. L'utilisation du 802.1x pour sécuriser une connexion 802.11 ne nécessite pas de changer de matériel, il est implantable dans un réseau 802.11b.
L'authentification par 802.1x se fait à l'aide de RADIUS (Remote Authentification Dial-In User Service), en utilisant un serveur RADIUS qui centralise les informations d'authentification des différents clients.
La mise en place de clés dynamiques effectuée par le WEP2 permet de contrer l'attaque qui consiste à « écouter » les communications afin de trouver 2 vecteurs d'initialisation identiques toutes les 16,8 millions de trames environ. Puisque cette écoute est à mettre en ?uvre durant 4 ou 5 heures, si les clés de chiffrement sont changées toutes les minutes, il n'est plus possible de trouver la même clé au bout de 16,8 millions de trames.
Infiltrer un réseau en attaquant ce système de clés dynamiques est à ce jour difficilement concevable ; seulement le système d'authentification comporte lui de sérieux problèmes.
!3.2- L'authentification
Le 802.1x est extensible à souhait, au minimum l'authentification se fait par le biais du protocole EAP (Extensible Authentication Protocol) qui permettra un cryptage de l'authentification sur le serveur RADIUS, ensuite on peut y rajouter divers autres moyens et protocoles d'identification.
Il a été démontré, il y a déjà plus d'un an par deux chercheurs de l'université de Maryland, que l'authentification de l'utilisateur à l'aide du 802.1x basique présentait deux gros problèmes et n'est donc pas quelque chose de sûr (http://www.cs.umd.edu/%7Ewaa/1x.pdf).
Ces deux gros problèmes sont que le système est fragile face à deux attaques bien connues de nos amis experts en sécurité informatique, « man in the middle » et « session hijacking ».Jusqu'alors ces attaques n'étaient misent en ?uvre que sur des réseaux physiques. Mais depuis plus d'un an tout réseau sans fil reposant sur un cryptage 802.1x est pénétrable.
L'attaque de type « man in the middle » consiste à se mettre au milieu comme son nom l'indique. L'attaquant mettant en ?uvre cette méthode se place entre un access point et un client et est en mesure de capturer tout le trafic passant entre ces deux points.
Pouvant être de différentes sortes, le tunneling est actuellement une des meilleures sécurités en matière de communication sans fil. Cette technologie travaille au niveau du protocole IP même, en amont de la couche matérielle cryptant par exemple avec le WEP.
Le tunnel de communication cryptée le plus utilisé en WiFi est certainement le standard IpSec, permettant la mise en place de réseaux privés virtuels (VPN ; Virtual Private Network). Un VPN s'installe de manière complètement transparente dans une infrastructure réseau, créant un réseau parallèle à fort niveau de cryptage, ce réseau parallèle crypté étant donc un tunnel.
On peut aussi utiliser des tunnels de cryptage propres à chaque protocole IP, par exemple pour les connexions d'administration à distance (telnet) ou des transferts de fichier (ftp), on utilise un tunnel SSH (Secure Shell) qui crypte à la volée la totalité des informations transitant entre les utilisateurs.
!4.2- Authentification par portail Web
Lorsque l'utilisateur est connecté sur le réseau, il est filtré et bloqué au niveau TCP/IP tant qu'il n'a pas effectué l'authentification HTTP.
Pour ce faire il doit consulter un document en ligne, cette première requête HTTP est détectée et est remplacée par un système d'authentification demandant un nom d'utilisateur et un mot de passe.
C'est la méthode employée par les fournisseurs d'accès à des réseaux sans fils.
Le SSID (Service Set Identifier) n'est en aucun cas une sécurité, c'est seulement le nom propre de votre réseau ; si un attaquant peut pénétrer votre réseau il arrivera facilement à obtenir le SSID. Optez pour un SSID qui ne veut rien dire pour ne pas tenter le client qui arriverait sur votre réseau par hasard, « potdeyaourt » sera tout de suite oublié, tandis qu'un SSID s'appelant « basededonneesclients » sera lui très vite retenu !!
Le filtrage par adresse MAC est maintenant très facilement contournable ; spoofer une adresse MAC est très simple à mettre en ?uvre, même sous plateforme Windows, en utilisant par exemple un outil tel que SMAC (http://www.klcconsulting.net/smac), filtrer les adresses MAC de ses clients reste quand même une sécurité à ajouter à la liste des bases à activer dans le cas de clients fixes.
Le réseau sans fil doit être protégé par une machine de type firewall du réseau câblé lequel pouvant être utilisé pour transiter ou stocker des informations sensibles du fait de sa sécurité importante lors des transactions. Il ne faut en aucun cas utiliser le 802.11b pour transiter ou stocker des données sensibles.
Dans le coin à droite (d'apres la doc : The bottom left of the PCB ... soit en bas a gauche mais d'apres la photo, ca a l'air d'etre plutot en bas a droite) de la carte, on peut voir le fil d'antenne soudé directement à la carte.
Il suffit de "couper" le fil du coté de l'antenne.%%%
Ensuite il suffit de resouder le connecteur de votre choix.%%%
__Le filtrage par adresse MAC__
Le filtrage par adresse MAC est une fonctionnalité de sécurité que l'on trouve
Une adresse MAC est en fait un identifiant unique pour chaque carte réseau.
et comme il existe des outils ou des commandes pour modifier son adresse MAC
En conclusion, le filtrage par adresse MAC associé au WEP ou WPA fera fuir
mais ce système ne suffira pas contre un pirate motivé ayant du temps
Mise en place du Filtrage par adresse MAC sur un DI-624
Un protocole pour le chiffrement et l'authentification au niveau IP (hôte à hôte).%%%
à PGP qui sécurise uniquement un fichier spécifique ou un message,%%%
besoin de patcher quoi que ce soit, IP SEc est implémenté d'office.
!Installation du patch, et configuration du noyau
>! ritalman:/usr/src/linux# make config ou menuconfig (plus sympa)%%%
[http://www.alphacore.net/contrib/nantes-wireless/ipsec/ipsec_menuconfig.jpg] %%%
[http://www.alphacore.net/contrib/nantes-wireless/ipsec/ipsec_menuconfig2.jpg] %%%
Ou pour les courageux du make config%%%
>! ritalman:/usr/src/linux# cp .config /boot/config-2.4.23%%%
C'est une application qui tourne sur le système OpenBSD (www.openbsd.org), authpf est donc le diminutif de authentification + pf,
pf étant le Firewall d'OpenBSD.
Toute personne qui se logge et s'authentifie avec SSH, le système détermine des règles de Firewall personnalisées à cette utilisateur connecté
C'est une sorte de gestion dynamique du Firewall, c'est donc un moyen efficace de sécuriser sa passerelle sans fil relié à Internet
Pour éviter le spoofing, je vous conseille d'ajouter ces deux lignes dans votre /etc/ssh/sshd_config:
ce qui laissait une brêche, il faut donc forcer le protocole 2 dans le sshd_config en plus:
Système d'exploitation de la firme de Redmond Microsoft. %%%
Basé sur la technologie Windows NT (NTFS, couche réseau issue de FreeBSD, noyau NT 5.1), il se révèle être actuellement le meilleur système d'exploitation pour l'utilisation de périphériques quels qu'ils soient (cartes wifi, usb, ...) ''(<- mouais... Mac Os X est pas mal non plus a part pour tout ce qui est webcam... Y'a moins de driver mais c'est, a mon sens, plus user friendly)''.%%%
Je vous l'accorde, il est bourré de SpyWare (Alexa, WindowsUpdate ...) mais bug presque plus, enfin presque.
Cette étude date de fin 2001, il faut donc considérer les tenants et aboutissants de cette "époque"
Les réseaux sans fil sont disponibles depuis presque 10 ans. Les premiers matériels utilisaient des solutions propriétaires, mais depuis maintenant quelques années des produits à la norme 802.11x sont en vente. Les trois principaux standards de WPAN (Wireless Personal Area Networks) sont HomeRF, Bluetooth et 802.11x pour WLANs (Wireless Local Area Networks). Ce projet va ainsi comparer et contraster les standards Bluetooth et 802.11b pour WLANs.%%%
Ainsi, nous étudierons les différentes technologies sans fil utilisées par ces deux protocoles. L'étude s'organisera de la sorte : une description de chacun, leurs différences et ressemblances et nous conclurons pour finaliser.%%%
Durant ces dernières années, beaucoup de technologies/standards pour la connectivité wireless sont apparus. Ces technologies permettent aux utilisateurs de se connecter à des réseaux de communication sans devoir acheter, porter ou connecter des câbles. Elles donnent l'opportunité de connexions ad-hoc rapides, et apportent la possibilité de connexions automatiques entre matériels. Elles élimineront presque entièrement la nécessité d'acheter du câblage additionnel pour relier différents dispositifs, de ce fait créant la possibilité d'employer des données dans une grande variété d'applications. Les LANs filaires ont eu un grand succès au cours de ces dernières années, mais maintenant, grâce à ces nouveaux standards sans fil, nous allons voir apparaître une nouvelle génération de réseaux, plus puissant et surtout plus flexibles. Jusqu'il y a quelques années, la vitesse du WLAN a été limitée à 2 Mbps mais avec l'introduction de ces nouvelles normes, nous voyons des WLANs qui peut supporter jusqu'à 11Mbps (théorique) dans l'ISM bande (Industrial-Scientific-Medical) qui est dans les 2.4 gigahertz.%%%
Dans cet document, vous verrez que les principales différences entre Bluetooth et IEEE 802.11 (également connu sous le nom de Wi-Fi sur le marché de consommateurs) sont qu'IEEE 802.11 sera habituellement employé pendant de longues périodes de connectivité alors que Bluetooth sera habituellement employé quand il y a un besoin de connecter quelques dispositifs ponctuellement. Bluetooth est également habituellement employé pour des applications de petite envergure tandis que 802.11 est plus employé pour se relier à un LAN classique. Mais puisque ces technologies utilisent la même bande de 2.4 gigahertz, elles peuvent interférer l'une avec l'autre.%%%
Bluetooth est employé pour les réseaux sans fil de courte portée est basé sur la méthode du Frequency Hopping (saut de fréquence) Code Division Multiple Access/Time Division Duplexing (FH-CDMA/TDD. Ceci permet à de multiples dispositifs de former un piconet " à la mode ad-hoc ". Mais ceci sera discuté spécifiquement dans la section de Bluetooth de ce document.%%%
Afin d'essayer d'éliminer la concurrence entre Bluetooth et d'IEEE 802.11, quelques entreprises essayent d'améliorer la technologie pour une utilisation sur un même réseau et un même matériel. Ces compagnies sont par exemple [Silicon wave|http://www.siliconwave.com] ou encore [Intersil|http://www.intersil.com]. Si, à l'avenir, ces deux entreprises peuvent faire cohabiter ces deux technologies sur un même réseau, elles auront alors un grand avantage par rapport à d'autres technologies réseaux. Mais ceci, sera également discuté dans la conclusion de ce document.%%%
Bluetooth a été inventé en 1994 par L. M. Ericsson en Suède. Cette technologie est employée pour les réseaux sans fil de courte portée basés sur la méthode du saut de fréquence (frequency hopping) - Code Division Multiple Access/Time Division Duplexing. Ceci permet aux dispositifs de former des __piconets__ à la mode __ad-hoc__. Bluetooth est conçu pour permettre la communication sans fil entre téléphones portables, appareils-photo, imprimantes, photocopieurs, ordinateurs et autres dispositifs.%%%
Le Bluetooth Special Interest Group (SIG) a été fondé par Ericsson, IBM, Intel, Nokia et Toshiba en février 1998, pour développer des spécifications pour la connectivité sans fil à courte portée. Depuis lors, beaucoup plus de compagnies ont rejoint le groupe. Le nouveau chef des SIG est 3COM ans en Californie.%%%
Un réseau Ad-hoc est un réseau qui peut être mis en place à n'importe quel endroit, n'importe quel moment. Ce réseau utilise des réseaux wireless à saut multiples. Spécifiquement, ce type de réseau s'appelle Mobile Ad-hoc NETwork ou MANET. Un Manet est un réseau formé de routeurs wireless, chacun ayant un ou plusieurs hôtes connectés à lui.%%%
Bluetooth emploie le Gaussian Shift Keying pour la modulation du flux de données. Ceci s'appelle parfois Gaussian Frequency Shift Keying (GFSK). L'idée de cette technique de modulation est qu'un '1' est représenté par un décalage positif de fréquence, tandis qu'un '0' est représenté par un décalage négatif de fréquence. En parallèle, la déviation minimum ne doit jamais être en dessous de 115 kilohertz. Ceci permet de réduire au minimum la possibilité de __'zero crossing error'__. Dans cette technique de modulation il y a quelques paramètres de plus qui doivent être identifiés. Un de ces paramètres est BT. BT est la largeur de bande normale de filtre (normalized filter bandwidth). Ceci se rapporte au filtre passe-bas qui est appliqué au signal, pour filtrer les composantes de fréquences plus élevées afin d'avoir une densité de spectre de puissance (Power Spectrum Density : __PSD__) plus compacte. La valeur de BT est habituellement placée à 1/2 et c'est le cas pour Bluetooth. Mais, lorsque l'on rend la PSD plus compacte grâce à BT, l'interférence inter symbole (InterSymbol Interference : ISI) augmente. Ainsi, si la valeur de BT est réglée trop petite, l'ISI " dominera " le signal, et conduira à augmenter le taux d'erreur par bit (Bit Error Rate : BER). En outre, dans Bluetooth, l'index h de modulation doit être placé entre 0.28 et 0.35 pour fonctionner correctement.%%%
Bluetooth est basiquement un service point à point pour transmettre des informations sur des distances très courtes. Certains peuvent penser que Bluetooth est juste une alternative radio à la technologie infrarouge. La différence principale comme il est indiqué avant est qu'il n'y a aucun besoin d'être dans la LOS car les signaux radios peuvent traverser les murs (enfin, pas tant de murs que ça, vu la faible puissance de transmission). Il ne faut pas oublier tout de même le fading et les interférences sur le canal qui sont pris en compte en parlant des distances de fonctionnement de Bluetooth.%%%
Les caractéristiques de puissance d'émission sont un paramètre de conception très important à conformer à la norme de Bluetooth. Vérifiez cette la table ci dessous pour voir les conditions. Toutes ces puissance sont mesurée à l'antenne reliée au matériel (PIRE). Ces limitations de puissance doivent être satisfaites par tous les dispositifs de Bluetooth. Si ces limitations ne sont pas respectées, les interférences dans le champ d'action de l'émetteur affecteront les autres dispositifs sur le réseau. Bluetooth emploie une puissance de rayonnement très petite pour ses transmissions. Cette puissance si situe entre 1 - 100 mW. À cette puissance de transmission, la distance maximale à laquelle les dispositifs de Bluetooth peuvent fonctionner à un niveau acceptable est d'environ 100 mètres. C'est du moins ce qui est prévu pour l'avenir avec la norme Bluetooth 2.0. A l'heure actuelle, la puissance d'émission pour les dispositifs Bluetooth est de 1 mW et le champ d'action d'environ 10 mètres.%%%
Comme Bluetooth est un protocole de transmission mobile, connaître la consommation d'énergie du dispositif est une information vitale. Ce qui suit est une liste de courants et de durée de vie de batteries qu'un dispositif standard de Bluetooth utilise. Ceci est basé sur un dispositif typique, et peut donc changer en fonction des conditions de fonctionnement et de l'environnement. En mode " standby ", un dispositif de Bluetooth consomme moins de 3 mA. C'est assez petit pour permettre au dispositif de fonctionner pendant 3 mois. Comme la plupart des personnes le savent, un dispositif ne reste pas vraiment 3 mois sans être utilisé, de sorte que ces spécifications sont juste des spécifications d'opération. En mode voix, le dispositif peut consommer jusqu'à 30 mA, et ceci descend le délai de fonctionnement à 75 heures. Ceci encore, n'est pas un nombre très spécifique, parce que des dispositifs de Bluetooth ne seront presque jamais reliés pendant une période continue de 75 heures, principalement parce que Bluetooth est employé pour des transferts de données courts et ponctuels. Du moins c'est vers cette utilisation que les concepteur des dispositifs s'étaient dirigés. Enfin en mode données brutes, le dispositif consomme une moyenne de 5 mA et peut fonctionner jusqu'à 120 heures. En réalité, l'utilisation normale de Bluetooth passe de mode en mode. Ce type d'opération raccourcit le délai de fonctionnement global du dispositif à quelque chose comme 120 heures. Comme un téléphone portable classique vient avec le même type de caractéristiques (telles que le temps de batterie 14 jours, le temps de recharge 3 heures), un dispositif de Bluetooth aura le même type de caractéristiques. Tous ces exemples de puissance sont pris d'un dispositif avec une batterie de 600 mAh avec un amplificateur interne.%%%
Dans les systèmes de communication, il y a un phénomène qu'on appelle " multipath ". Ce phénomène peut-être bénéfique ou non, selmon si on utilise la diversité sur le récepteur ou non. La diversité peut permettre de renforcer la force du signal reçu, afin d'avoir ainsi un meilleur signal. Si il n'y a pas de diversité, ce phénomène est destructeur, car en fonction du chemin pris, le signal aura plus ou moins de retard, et cette version décalé du signal, ira interférer avec les autres signaux reçus, au récepteur. %%%
Comme expliqué avant, les dispositifs Bluetooth forment des réseaux de recouvrement appelés piconets. Il peut y avoir jusqu'à 8 dispositifs dans un piconet (réseaux ad-hoc javascript:window.open('adhoc.htm','','status=yes,height=600,width=500');void('');de courte portée). Chaque dispositifs peut appartenir simultanément à plusieurs piconets. Ces piconets sont établis dynamiquement et automatiquement alors que les dispositifs de Bluetooth entrent et quittent la zone de portée radio. Ceci permet à de multiples dispositifs d'être utilisés par beaucoup de multiples utilisateurs dans un environnement dynamique. Comme au bureau où les gens vont et viennent, grâce à Bluetooth, ils seront capables de communiquer les uns les autres automatiquement et en temps réel. C'est pour cette utilisation, entre autres, que Bluetooth a été inventé : laissez les utilisateurs libres de leur mouvements dans un environnement dynamique, et leur permettre d'avoir leurs outils reliés au réseau en permanence, sans se tracasser des configurations différentes pour chaque dispositif Bluetooth. Les capacités dynamiques des dispositifs Bluetooth sont ce qui crée les multiples piconets auquels n'importe quel dispositif peut appartenir. Par définition, le dispositif qui établit et commande le piconet s'appelle le master (maître). Et n'importe quel autre dispositif dans ce piconet s'appelle slave (esclave). Comme indiqué avant, seulement 8 dispositifs peuvent être dans un piconet. Ceci signifie que seulement un maître et 7 esclaves peuvent exister dans un même piconet. Chaque piconet emploie une petite fréquence de hopping (saut) avec un modèle déterminé par le maître. La synchronisation du réseau est également faite par le maître et les esclaves se synchronisent à l'horloge du maitre.%%%
La synchronisation du réseau par le maître se fait au sein du champ code d'accès. Il permet également d'identifier chaque dispositif sur le piconet. Ce code d'accès est unique à chaque piconet, donc tous les paquets envoyés à un même piconet javascript:window.open('piconet.htm','','status=yes,height=600,width=600');void('');contiendront le même code d'accès.
Le deuxième champ du paquet est l'en-tête. L'en-tête est employé pour la " link command ". L'en-tête se compose de 6 champs différents. Ces champs sont la plupart du temps employés pour la contrôle d'erreur et des données. Les champs principaux sont les champs AM_ADDR et ARQN. Le champ AM_ADDR est employé pour identifier les membres participants au piconet. Le maître assigne une adresse provisoire de 3 bits à chaque dispositif sur le piconet. Notez bien que ceci ramène effectivement le nombre maximum de membres d'un piconet à 8. Ceci est dû au fait que le maître prend l'adresse 000 et assigne les autres adresses aux autres membres jusqu'à 111. Dans un environnement dynamique, les esclaves qui partent du piconet renoncent à leur adresse. Ceci fait de Bluetooth ce qu'il est : un réseau changeant dynamiquement en fonction des dispositifs. Le champ d'ARQN dans l'en-tête est employé pour informer la source d'une transmission réussie. Ceci est seulement employé pour une charge utile avec des données qui contiennent un CRC. Autrement la destination n'aurait aucune idée sur le fait que les données reçues sont correctes ou non. Ce champ peut être mis à 1, pour " réception réussie ", ou à 0, pour " erreur dans la transmission, à renvoyer ". Ce bit est renvoyé dans l'en-tête de retour du paquet et le maître marque cette transmission. Il renvoie ensuite les données incorrectes sur le prochain " open time slot ".%%%
En parlant des paquets, c'est une bonne idée de parler aussi des " time slot " de Bluetooth. Le time slot (pour les dispositifs de Bluetooth) est sectionné en longueurs de 625 µs. Le maître transmettra sur des time slots égaux, commençant au début du time slot, et l'esclave répondant sur les time slot impaires. C'est ainsi que le " full duplex " est réalisé par Bluetooth. Chaque paquet est transmis sur une des fréquences hoppée. Ceci signifie que la fréquence restera la même pour chaque paquet. En regardant de plus près, les 1600 " hopping " par seconde, signifie effectivement que chaque " hop " est en activité pour 625 µs (1/1600). En relation avec ceci, le maître ou l'esclave peuvent transmettre un paquet pendant un maximum de 5 time slots. Quand cela se produit, la fréquence de hopping reste la même, basée sur la fréquence du premier time slot où le paquet est transmis. Ceci pour empêcher la perte d'information du paquet en changeant de fréquence.%%%
Les paquets de données de Bluetooth sont sectionnés dans deux types. Les ACL (Asynchronous Connection Less) et SCO (Synchronous Connection Oriented). La liaison SCO est une liaison entre un esclave spécifique et le maître. Le lien SCO est établi par le master en envoyant un message " setup de SCO ". Une fois que l'esclave répond, la liaison devient une liaison point à point. Cette liaison est habituellement employé pour des données synchrones, telles que la voix. Il y a des limitations cependant sur le nombre de liaisons SCO qu'un maître peut avoir. N'importe quel maître peut avoir jusqu'à 3 liaisons SCO à un esclave ou 3 esclaves différents. C'est la même chose pour les esclaves dans le sens où un esclave peut accepter trois liaisons SCO d'un maître ou de 3 maîtres différents. Ceci permet que de multiples utilisateurs puissent avoir les mêmes données synchrones en même temps, ou encore qu'un maître puisse émettre plusieurs sources de données synchrones.%%%
Il existent d'autres types de paquets, notamment POLL, NULL, DM1, DM2, DM3, HV1, HV2 et DV. Pour donner un exemple de certains de ces types de paquet, les paquets POLL, NULL, et DV seront décrits ici. Le paquet NULL n'a aucune charge utile. Ceci signifie qu'il y a seulement l'en-tête de canal et le code d'accès. Celui-ci est employé pour renvoyer l'information de liaison qui peut être utile au maître ou à l'esclave, selon où le paquet a été envoyé. Le paquet de POLL est semblable au paquet NULL dans le sens où il ne contient aucune charge utile. Mais il est différent des paquets NULL sur certains points : Le paquet POLL exigera une réponse à sa réception. Pour faire une analogie à ceci, c'est équivalent à envoyer un email avec un attachement qui dirait " réponse à envoyer quand lu ". Le paquet POLL est envoyé par le maître et doit suscité une réponse par les esclaves. Ceci est employé pour le recensement des esclaves en les forcant à répondre pour voir s'ils sont " vivant " et tiennent toujours actifs les liens dans le piconet. C'est cette méthode qui est employée par le maître pour commander le réseau. Les __paquets DV__, comme leur nom le suggère, sont composés de données et de voix. Ceci fait de lui évidemment un paquet SCO. Ce paquet est composé de 80 bits de données voix et jusqu'à 150 bits d'autres données. La zone data contient 16 bit de CRC (contrôle par redondance cyclique). Ce paquet n'est pas strictement SCO cependant. Le champ voix est manipulé comme synchrone, mais la zone data peut être retransmise si nécessaire (ARQ). C'est pourquoi il y a un CRC dans la zone data.%%%
La sécurité de Bluetooth est devenue un souci croissant pour beaucoup d'utilisateurs. Le souci principal est comment peut on être sûr que cette liaison est sécurisée ? Hé bien, ils ne peuvent jamais en être entièrement sûrs, mais ils peuvent se sentir confiants de leur connexion. Bluetooth met en application ce qui s'appelle l'algorithme E1. L'algorithme E1 est basé sur un système de Challenge/Response. Le maître challengera le nouveau dispositif. Le dispositif challengé doit alors répondre avec un autre challenge par rapport au premier. Ceci sera fait dans le bit BD_ADDR de l'en-tête, avec trois autres procédures. Les bits BD_ADDR permet à Bluetooth de déterminer 'qui ou ce qui 'est au bout du fil. Les bits BD_ADDR de chaque dispositif de Bluetooth correspondent à l'adressage standard d'IEEE. Ceux-ci sont publiquement connus, ou peuvent être obtenus en employant une routine d'inquiry d'un autre dispositif de Bluetooth. Il y a alors les 128 bits d'authentification. Ensuite viennent les 8 - 128 bits de l'algorithme de chiffrage. Enfin il y a le générateur de clés aléatoires de 128 bits qui est la plupart du temps utilisé au niveau logiciel. Le bit de chiffrage est régénéré toutes les fois que le chiffrage change. Ceci signifie que la vie d'un ensemble spécifique de bits de chiffrage est inférieur aux bits d'authentification. Les bits d'authentification sont créés au setup de deux dispositifs et changera seulement si un dispositif renonce à son adresse AM_ADDR. Toutes ces procédures sopnt ainsi utilisée pour déterminer si un dispositif est authentique. Une fois que cela a été fait, le maître saura si le dispositif est authentique et devrait envoyé ces informations sur le piconet. Il y a deux niveaux de sécurité qui sont employés par un dispositif. Il y a le dispositif de confiance (un dispositif qui est appairé avec un autre dispositif et a accès sans restriction à tous les services) et le dispositif de non confiance (un dispositif sans appairement qui a un accès limité aux services, ou une liaison provisoire utilisé pour 'passer par ').%%%
Les dispositifs emploient également un algorithme de chiffrage pour coder les données envoyées aux autres dispositifs. Ceci permet à deux dispositifs de communiquer sans divulguer d'informations sur les données envoyées. La charge utile est la partie chiffrée du paquet. Le code d'accès et l'en-tête ne doivent jamais être chiffrés.Il serait impossible pour les dispositifs de communiquer les uns avec les autres puisque le chiffrage est introduit dans le code d'accès et l'en-tête. L'algorithme de chiffrage utilisé s'appelle E0. Cet algorithme est synchronisé à nouveau à la transmission de chaque paquet. L'algorithme E0 se compose de trois parties. Une partie pour l'initialisation, une partie pour les bits de la clé, une partie pour le chiffrage et déchiffrage. Le générateur de clé est simple dans son opération, parce que tout ce qu'il fait est prendre les bits d'entrée et les combiner dans le bon ordre dans les quatre LFSR (Linear Feedback Shift Registers). La partie principale est la deuxième partie du système. C'est la partie utilisée pour l'initialisation. C'est un générateur de clé de combinaison (générateur d'addition) qui est attribué à Massey et à Rueppel. Ceci peut mener à la corruption de données pendant les attaques de corrélation, mais à la synchronisation de chaque paquet fait en sorte qu'il est difficile que ceci se produise. Les re-synchronisation à hautes fréquences font qu'il est difficile pour les données mouchardes d'entrer sans être attrapé, et vérifié d'abord.%%%
!!!II. IEEE 802.11b ou Wifi%%%
IEEE 802.11 est le standard normalisé par l'IEEE (Institute of Electrical and Electronics Engineers) utilisé pour les réseaux sans fil. IEEE 802.11 a eu quelques amendements qui sont connus sous les noms de 802.11g et 802.11a et d'autres encore (qui sont venus après 802.11b).%%%
En outre, IEEE 802.11b définit le dynamic rate shifting : par conséquent, le débit des données est automatiquement ajusté quand l'environnement change. Ceci signifie que les dispositifs d'IEEE 802.11b peuvent transmettre à 5.5 Mbps, 2 Mbps, et 1 Mps et ce, même dans des conditions de bruits. Quand les dispositifs ré-atteignent une gamme de transmission plus rapide, le débit peut à nouveau augmenter.%%%
* un système de PMD (Physical Medium Dependant), dont la fonction définit les caractéristiques, et les méthodes de transmission et de reception des données au travers d'un milieu sans fil entre deux STAs ou plus, chacun employant le système du haut débit PHY.%%%
PLCP a deux structures, une avec un long préambule et l'autre avec un court. Tous les systèmes 802.11b conformes doivent être compatibles avec le long préambule. L'option courte de préambule est fournie dans la norme pour améliorer l'efficacité de sortie d'un réseau en transmettant des données spéciales telles que la voix, la VoIP (Voice Over IP) et la vidéo en streaming.%%%
L'option courte de préambule a été fournie dans la norme pour améliorer l'efficacité de la sortie d'un réseau. Le préambule court emploie un champ de synchronisation de 56-bit, qui est " scramblé " avec la logique 0s, suivi d'un champ de 16 bits de SFD. L'acquisition du signal de préambule est traitée à 1 Mbps. L'en-tête est traité à 2 Mbps et la charge utile dans le PSDU peut être traitée à 2, à 5.5, ou à 11 Mbps. Traiter un long préambule prend au maximum 192ms et pour traiter le long préambule et 96ms pour traiter le préambule court. Le préambule court économise 50% dans une PLCP data unit (PPDU) sur une base " par paquet ". Le préambule court peut améliorer le débit d'un réseau en transmettant des control frames and paquets de données fragmentés transportant un contenu limité dans le temps tel que la voix, la VoIP, et la vidéo en streaming.%%%
IEEE 802.11b définit deux équipements, une station sans fil, qui est habituellement un PC ou un ordinateur portable avec une carte réseau sans fil (NIC), et un point d'accès (AP), qui agit en tant que pont entre les stations sans fil et le système de distibution (DS) ou le réseau filaire. Il y a deux modes dans IEEE 802.11b, le mode __infrastructure__ et le mode __Ad-Hoc__.%%%
Un point d'accès fournit une fonction locale de pont pour la BSS. Toutes les stations sans fil communiquent avec le point d'accès et ne communiquent plus directement. Toutes les frames sont transmises entre les stations sans fil par le point d'accès.%%%
Un ESS est un ensemble d'infrastructure BSS, où les points d'accès communiquent entre eux pour relayer le trafic d'une BSS à l'autre pour faciliter le mouvement des stations sans fil entre BSS.%%%
Les stations sans fil communiquent directement les unes avec les autres. Une station peut ne pas pouvoir communiquer avec d'autres stations, du aux limitations de distance. Il n'y a aucun point d'accès dans un IBSS. Par conséquent, toutes les stations doivent être à la portée l'une de l'autre et elles communiquent directement.%%%
Une station qui veut transmettre écoute le support de transmission, et s'il est occupé, la transmission est reportée. CSMA/CA est désigné sous le nom de la fonction distribuée de coordination (DCF : Distributed Coordination Function). Ceci exige de chaque station qu'elle détecte les autres utilisateurs. Si le canal est à inactif, la station peut transmettre. Cependant si il est occupé, chaque station doit attendre jusqu'à ce que la transmission s'arrête lorsque le récepteur envoie le ACK. Alors, chaque station doit attendre un moment égal à DIFS, plus un nombre aléatoire de time slots pour la prochaine transmission afin d'éviter des collisions.%%%
* Short IFS (SIFS) est le temps entre la fin de transmission du paquet et le début de la trame ACK (c'est le plus petit IFS)%%%
Une hypothèse du Physical carrier Sense est que chaque station "entendent" toutes les autres stations. Ce n'est pas toujours vrai. Dans le "Hidden-Node Problem" (problème du n&#339;ud caché), les postes sans fil A, B et C peuvent tous voir le point d'accès P. A et B peuvent se voir, et B et C peuvent se voir, mais A ne peut pas voir C.
Pour résoudre ce problème, IEEE 802.11b spécifie un protocole de Send/Clear to Send (RTS/CTS), 4-Way Handshake. Ce protocole réduit la probabilité d'une collision dans la zone de portée du récepteur. Pour réduire la probabilité d'avoir deux stations qui se gênent parce qu'elles ne pouvent pas se voir, la norme définit le mécanisme du Virtual Carrier Sense.
Une station qui veut émettre transmet d'abord un paquet de contrôle RTS (Request To Send : demande d'envoyer), qui donnera la source, la destination, et la durée de transaction. La station destination répond (si le milieu sans fil est libre) avec un paquet de contrôle CTS (Clear To Send : ok pour envoyer), qui inclut les mêmes informations sur la durée. Toutes les stations destinataires, que ce soit en RTS, ou CTS, activeront leur indicateur Virtual Carrier Sense (appelé NAV Network Allocation Vector pour vecteur d'attribution de réseau), pour une certaine durée, et emploiera cette information avec le Physical Carrier Sense afin " d'écouter " le réseau. %%%
Ce mécanisme réduit la probabilité de collision par une station "cachée" de la station de diffusion dans la zone du récepteur pendant la courte durée de la transmission du RTS, parce que la station entendra le CTS et considérera le milieu comme occupé jusqu'à la fin de la transaction. L'information "durée" dans le RTS protège des collisions la zone de la station de diffusion pendant la transmission de l 'acknowledgment de la réception (par des stations étant hors de portée de la station acknowledging).%%%
* d'atteindre les ressources du réseau en utilisant le même équipement sans fil.%%%
Ceci est obtenu en employant un mécanisme d'authentification où une station est obligée de prouver sa connaissance d'une clef (semblable aux sécurité sur des réseaux filaires).%%%
* Raisonnablement dur : l'attaque par la brute force de cet algorithme est difficile du fait que chaque frame est envoyée avec un vecteur de l'initialisation qui relance le générateur des nombres aléatoires. %%%
L'IP mobile a été suggérée en tant que moyen pour la gestion de réseau sans fil. Il se concentre sur la couche réseau, fonctionnant avec la version en cours du protocole Internet (IPv4). Dans ce protocole, l'adresse IP de la machine mobile ne change pas quand elle se déplace d'un réseau à la maison à un réseau étranger. Afin de maintenir la liaison entre le n&#339;ud mobile et le reste du réseau, une routine de " forwarding " est mise en application. Quand l'agent mobile se déplace de son réseau à la maison vers un réseau étranger, l'agent mobile indique à l'agent sur le réseau à la maison vers quel agent étranger ses paquets doivent être expédiés. En outre, l'agent mobile s'enregistre avec cet agent étranger sur le réseau étranger. Ainsi, tous les paquets destinés à l'agent mobile sont expédiés par l'agent à la maison à l'agent étranger qui les envoie à l'agent mobile sur le réseau étranger. Quand l'agent mobile revient à son réseau original, il informe les deux agents que (à la maison et étranger) la configuration originale a été reconstituée. Personne sur les réseaux extérieurs n'a besoin de savoir que l'agent mobile s'est déplacé. Cette configuration fonctionne, mais elle a quelques inconvénients. Selon la distance à laquelle l'agent de mobile se déplace, il peut y avoir besoin de stockage et expédition des paquets tandis que l'agent mobile n'est sur ni le réseau maison ni sur le réseau étranger. En outre, l'IP mobile fonctionne seulement pour IPv4 et ne tire pas profit des dispositifs de l'IPv6 plus récent.%%%
Plusieurs des dispositifs de modulation et de protocole décrits ici sont disponibles dans les chipsets, les cartes de PC, les points d'accès, et les systèmes. L'alliance sans fil de compatibilité Ethernet (WECA) a déjà commencé l'essai d'interopérabilité et de conformité des systèmes de 802.11b 11-Mbps. Nous pouvons compter voir la première vague des produits de WECA-certified portant le logo Wi-Fi ce trimestre. Cette année, nous pouvons également compter voir de nouveaux fournisseurs et OEM produire des solutions avec des niveaux d'intégration plus élevés et incorporant de nouvelles architectures de rf telles que la conversion directe.%%%
La couche physique de Bluetooth donne une petite puissance d'émission à l'antenne, par opposition à la puissance d'un émetteur récepteur 802,11. La puissance d'un émetteur Bluetooth est de 1 mW, tandis que la puissance de 802,11 est de 1 W. Il y a un facteur de 1000 entre la puissance des émetteurs. De plus, la portée de fonctionnement des deux systèmes de communication est différentes. La gamme de la plupart des dispositifs de Bluetooth est d'approximativement 10m. Ceci comparé à la portée de 300m pour 802.11. Ceci donne aux utilisateurs de 802.11 beaucoup plus de flexibilité en utilisant leurs dispositifs. Ils pourraient utiliser leur portable pour vérifier leurs emails dans un embouteillage. A contrario, les utilisateurs de Bluetooth ne pourraient vérifier leurs emails qu'à une borne d'information dans un aéroport par exemple, et cela juste à côté de lui. Il y a donc une différence très grande dans la gamme d'utilisation. %%%
Ceci mène également au type de transmission. Bluetooth emploie ce qui s'appelle la méthode du saut de fréquence et 802.11b emploie ce qui s'appelle DSSS (Direct Sequence Spread Spectrum). La méthode du saut de fréquence pourrait causer des retards dans la transmission et la seule manière d'empêcher ceci est de ralentir l'échange de l'information. Par conséquent seulement 1 paquet est envoyé sur 1 fréquence " hoppée ". Mais, dans le cas d'un plus grand paquet, il pourrait être étendu au-dessus d'un maximum de 5 time slots (équivalent à manquer 5 fréquences hoppée). Dans le cas de DSSS, le CDMA permet au signal d'être étalé sur une gamme étendue de fréquence et pour le destinataire, tous autres utilisateurs ressemblent alors à du bruit. Ceci permet des débits plus élevés et plus d'utilisateurs. Il n'y a pas de limite sur le nombre d'utilisateurs d'un réseau 802,11. C'est dû au fait que la norme 802,11 est une prolongation de la norme Ethernet filaire 802,5, à qui il emprunte les techniques d'accès et d'adressage. Dans Bluetooth, tout l'adressage est manipulé par le master des piconets. L'adresse de l'esclave sur le réseau est seulement codée sur 3 bits. Ceci rend difficile d'adresser plus de sept autres dispositifs (000 pris par le maître et jusqu'à 111 pour les esclaves). Donc il y a une limite sur le nombre d'utilisateurs dans un réseau Bluetooth (piconet).%%%
Une autre différence est l'utilisation. Comme indiqué avant, Bluetooth est employé pour le transfert de données entre dispositifs. Ceci permet aux dispositifs tels que PDA, notebooks, téléphones, de parler entre eux. Ceci doit éviter les procédures des accès longs pour un réseau filaire, et également le coût de câbler les points d'accès pour communiquer avec ces dispositifs. Ceci rappelle l'histoire du voyageur d'affaires qui doit paramétrer l'imprimante de l'hôtel et imprimer à partir de son ordinateru portable. Avec Bluetooth, ceci peut être fait sans contraintes pour l'utilisateur. Les dispositifs prennent soin de toute la configuration, de la sécurité. La seule vraie difficulté pour l'utilisateur est l'installation de l'imprimante et du portable. L'utilisation de 802,11 est devenue un point d'accès pour qu'un ordinateur de portable wireless atteigne un réseau câblé. C'est la direction que les réalisateurs avaient prise ces dernières années. 802,11 a la capacité de créer les réseaux ad-hoc, mais ce n'est pas de cette manière quela plupart des gens ont décidé de l'employer. %%%
La sécurité de chacune est différente aussi. Bluetooth emploie une combinaison de 4 LFSR (Linear Feedback Shift Registers) pour chiffrer des données à la couche physique. Bluetooth a également de frequency hopping qui facilite aussi la sécurisation des données. Ceci a malheureusement des inconvénients. Le modèle du hopping est envoyé dans chaque paquet envoyé à un dispositif, ainsi si quelqu'un voulait pirater, la seule chose à faire pour déterminer le modèle de hopping serait de capturer un paquet. Mais il y a également un mot de clé code qui est produit à l'initialisation des deux dispositifs, améliorant encore l'aide dans la sécurité. La majeure partie de la sécurité est prise en compte au niveau logiciel pour Bluetooth. Il n'y a aucun besoin pour les utilisateurs d'installer quoi que ce soit. IEEE 802,11 a les points d'accès qui agissent en tant que hubs dans un réseau de câble, et il n'y a donc pas beaucoup de sécurité dans la couche physique. Le problème avec ceci est qu'un hub envoie tous les paquets à chaque dispositif à qui il est relié dans le réseau câblé. C'est la même chose pour les points d'accès 802,11. Le hub envoie tous les paquets à chaque utilisateur à proximité, et si les données ne sont pas signifiantes pour cet ordinateur, elles sont ignorées. C'est une grande question concernant la sécurité si un utilisateur malveillant s'avérait justement vouloir écouter le réseau. La norme d'IEEE 802,11 a des possibilités optionnelles de chiffrage. Ceci est mis en application en incluant l'algorithme de sécurité RC4 dans la couche données. Mais ceci apporte d'autres risques concernant la sécurité, en stockant les mots de passe sur les ordinateurs et les points d'accès. Mais ce système chiffre les transmissions cependant.%%%
Évidemment, Bluetooth et 802,11 sont deux technologies sans fil. Autrement il n'y aurait aucune raison pour les comparer !%%%
La deuxième similitude est leur champ d'utilisation : dispositifs électroniques se reliants sans fils. Mais, alors que Bluetooth est principalement fait pour relier des PDA, des téléphones, etc., IEEE802.11 est employé pour relier les réseaux comme nous les connaissons déjà (TCP/IP, Ethernet...), car il emploie les mêmes couches OSI Supérieures. %%%
Alors que nous lancions notre projet, beaucoup d'articles parlaient des problèmes principaux soulevés par l'utilisation des technologies comme Bluetooth et IEEE 802,11 dans la bande " libre " autour des 2.4Ghz. La plupart d'entre eux comparaient ces deux technologies comme si elles avaient la même utilisation ( [exemple d'un article à fin août|http://news.cnet.com/news/0-1006-200-7008688.html] ). Nous avons alors décidé d'étudier ces deux technologies en détail pour évaluer leurs avantages et inconvénients. Alors que nous continuions plus loin dans le projet, nous nous sommes en fait aperçu que ces deux technologies ont en fait des utilisations vraiment différentes et pourraient toutes les deux apporter quelque chose au marché du sans fil. Le seul obstacle principal est qu'elles fonctionnent dans la même bande de fréquence qui n'est pas contrôlée par la FCC. %%%
Mais quelques mesures sont prises pour réduire des interférences, comme la FCC ne s'occupe pas directement des conflits de fréquence entre les produits sévissant dans la bande des fréquences non licensiés, c'est Bluetooth et des groupes de normalisation d'IEEE se chargent de résoudre les problèmes d'interférences. L'IEEE a récemment fait à un pas en avant en constituant le 802,15, groupes de travail sur la coexistence. Ce groupe développe les pratiques recommandées pour la coexistence des PANs sans fil (Personal Area Networks) qui fonctionnent dans le spectre de fréquence de 2,4 gigahertz, et l'analyse préliminaire du potentiel d'interférence entre 802,11 et Bluetooth a déjà été faite. En outre, le groupe a fait des recommandations préliminaires concernant la façon résoudre le problème. Le but final est de diminuer la probabilité que Bluetooth et 802,11 transmettant en même temps. Pour faciliter l'exécution, les modifications aux deux, 802,11 et Bluetooth prendront si tout va bien la forme de changements de progiciels, et non de remplacement de produits. %%%
Le problème principal est que des produits de Bluetooth sont susceptibles d'être mis en service dans des LANs où 802,11 avant des contre-mesures d'interférence soient convenues et mises en application par les groupes de normes. En attendant, les départements de MIS doivent se concentrer sur faire cohabiter les fréquences de leurs équipements pour assurer la fiabilité des réseaux sans fil. Pour réduire la possibilité d'interférence entre Bluetooth et 802,11, pensez à employer la méthode du saut de fréquence au lieu de DSSS pour IEEE 802,11. Une autre recommandation nous dit d'éviter d'avoir des produits de Bluetooth transmettent à moins de 15 mètres de 802,11. Les signaux de puissance faible des dispositifs Bluetooth diminuent rapidement sur de longues distances. Si ces tactiques ne sont pas applicables ou ne fournissent pas des résultats proportionnés, pensez également à diminuer les distances entre stations 802,11 et points d'accès. Ceci renforce les signaux 802,11, et donc réduit l'effet de l'interférence de Bluetooth. Malheureusement, ceci pourrait exiger le coût de points d'accès additionnels (issues principales proposées par Jim Geier, [wireless-nets|http://www.wireless-nets.com]). %%%
Alors que certains clament "Bluetooth a perdu", d'autres indiquent "Pourquoi ne peuvent-elles pas juste cohabiter". Ceux-ci pourraient être ceux qui sont les plus susceptibles de dire vrai, assurant " un plein plaisir " pour les clients qui pourront tirer profit des deux technologies en même temps. À l'avenir, il y aura une nouvelle technologie qui incorporera les deux normes (ou sera complètement nouvelle, remplaçant les deux décrites ici) qui aura un coût inférieur d'operation/installation que les deux déjà en place.%%%
# Pty Ltd (2001) Bluetooth Tutorial - Specifications Pty Ltd, Sydney, Australia. [Online] : http://www.palowireless.com/infotooth/tutorial.asp %%%
# IEEE Standards Committee (1999) Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specification. ANSI/IEEE Std. 802.11, 1999 Edition. [Online] : http://www.serpoul.com/projets/~~dmarcham/bluetooth/802.11.pdf %%%
# IEEE Standards Committee (1999) Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specification : Higher-Speed Physical Layer Extension in the 2.4 GHz Band. ANSI/IEEE Std. 802.11, 1999 Edition. [Online] : http://www.serpoul.com/projets/~~dmarcham/bluetooth/802.11.pdf %%%
Je possède un PC sans équipement WI-FI mais je suis pret a m'investir si les possibilités de racordement sont réelles.
Développé par SSU Communications Secrity Ltd., SSH est un protocol permettant de gérer l'authentification distante, l'execution de commande sur des machines distantes et le transfert de fichiers (HTTPS, FTPS ...)
SSH protège le réseau contre les attaques de type IP sppoofing. Un pirate qui aurait pour but de pénétrer sur le réseau ne pourrait seulement que forcé SSH a se déconnecté. Il ne pourrait pas "injecté" des trames.
Le protocol PPTP est une extension du protocol d'accès distant PPP defini par le RFC 1171.%%%
L2PT est devenu le standard de l'industrie, défini par la RFC 2661.
Le protocole PPTP supporte les protocoles TCP/IP, NetBEUI et IPX/SPX uniquement alors que L2TP ne supporte pas de protocole réseau spécifique,%%%
il peut s'interfacer avec n'importe quel protocole réseau car il offre des fonctionnalités définies au niveau de la couche "Liaison de donnée" (Niveau 2 du Modèle OSI).
* Etablir et maintenir une connexion physique. Le protocol PPP utilise une sequence défini dans le RFC 1661 pour établir et maintenir les connexion entre les postes distants.
* Authentifier les utilisateurs. Les clients PPTP sont authentifiés à l'aide du protocol PPP.
* Créer un datagrame PPP contenant des trames TCP/IP, IPX ou NetBEUI cryptées permettant ainsi à tout le traffic entre le client PPP et le serveur d'accès distant d'etre sécurisé.
Un tunnel SSH permet de crypter les données entre deux points, un Proxy est un filtre entre le réseau privé et Internet permettant par de n'authauriser que le protocol HTTP au client du réseau.
Ainsi on a la bonne combinaison pour la confidentialité des données entre les clients et une passerelle avec un point d'accès sans fil.
Il ne faut néanmoins pas oublier de fonction d'authentification (Proxy d'authentification, autpf sous OpenBSD ou toute autre système ayant cette fonction).
# VTUN - Réalisé: [EssaiConfigVTun]
# OpenVPN - [EssaiConfigOpenVPN]
# Zebra - Réalisé: EssaiConfigZebra
*Psio : (ADSL Free Net1 (bientôt dégroupé) Ip Fixe)
*origin : (ADSL Nérim Ip Fixe + Domaine Internet + Netissimo 2)
** 1 Portable en Wifi
**ligne ADSL (IP fixe)
**Ligne ADSL Dégroupée (2400/420) (Ip Fixe + dns)
*Ctu (finalisation de l'installation FreeRadius)
WepCrack est un logiciel qui montre les réelles faiblesses du [WEP|WEP], celui-ci est en effet destinné au crackage de clef WEP d'un réseau sans fil.
*__prism-getIV.pl__ : Recherche les faiblesses du fichier encrypté capturé.
Anciennement appelé WiFi 5, cette norme est basée sur la bande de fréquence du 5gGHz et offre des débits de 54Mbits. Cette norme est plutôt destinée aux milieux moyennement urbanisés à cause de sa fréquence élevée.
La norme sans-fil la plus utilisée aujourd'hui , basée sur le 2.4GHz, elle permet des débits de 11 Mbits.
!Configuration entre DWL900+ et DWL-G650
Attention, on a beau avoir acheté du matériel DLink (ou l'avoir transformé), le 802.11b+ n'est pas interopérable avec le 802.11g. Par exemple, un point d'accès configuré avec le mode 4x activé, et des basic rates en 22mbps, empêche toute carte 802.11g (même Dlink) de se connecter. Il faut donc désactiver le mode 4x et remettre les basir rates à 11mbps.
Systeme UNIX à 100%, il se distingue de ses compagnons (NetBSD et FreeBSD) par son orientation extreme vers la sécurité.Très utilisé pour faire Firewall/routeur, il ne prend que peut de place (250mo) et 32 mo lui suffit (faut forcer pour dépasser 32).
La fonctionnalité est prévue en natif dans IPv6. Cette fonction va de pair avec le nouvel adressage et simplifie le routage des données.
Globalement, le routage est simplifié, fluidifié et donc amélioré
Cette page a été crée afin que toute personne souhaitant nous soumettre un lien puisse l'inclure dans cette page .N'hesitez pas à inclure toute
sorte de liens ayant rapport avec le wifi .
<tt>~_~*</tt> for _*both*_, <tt>~=</tt> for =fixed width=.%%%
_Term<b>:</b>~<new-line> definition_ for definition lists.%%%
*Preventing linking:* Prefix with "<tt>~~</tt>":
* Words wrap and fill as needed
* asterisk for first level
* Definition lists:
* Definition list style tables are written just like definition lists,
Definition 1 begins here.
Definition 1.1
Definition 1.2
This is part of definition 1.
Here's definition 2.
Definition 1 begins here.
Definition 1.1
Definition 1.2
This is part of definition 1.
Here's definition 2.
# The argument can be specified via an HTTP query argument. This
# Default values specified in the plugin invocation:
* FullTextSearch: FindPage
but couldn't find a rhyme for monospacing
PhpWiki consists of a dozen or so files of mixed PHP and HTML. The web
pages that make up a WikiWikiWeb based on PHP live in a DBM file with
DBM and rendered on the fly. The user only ever requests the file
=index.php=, which then decides which other php files to include.
such separate entity; it is nondetachable, unfilterable. The beginner
old lists, oddly enough, work fine
'''''five quotes bold italic'''''
'''''five quotes bold italic'''''
;: defintion1.2
;Term2 :defintion2
;; Term3:defintion3
;;;Term4: definition4
;;; : defintion4.2
;;; Term5 : defintion5
'''''five quotes bold italic'''''
'''''five quotes bold italic'''''
| *First* | *Last*
| *First* | *Last*
used to span rows. A __>__ generates a right justified column, __<__
a left justified column and __^__ a centered column (which is the
__Lists:__ * for bullet lists, # for numbered lists, ''__;__ term __:__ definition'' for definition lists.%%%
__Preventing linking:__ Prefix with "!": !!DoNotHyperlink, name links like [[[[text | URL] (double up on the "[").%%%
* Words wrap and fill as needed
* asterisk for first level
* semicolon-term-colon-definition for definition lists:
;term here:definition here, as in the <DL><DT><DD> list
* You can create footnotes by using [[1], [[2], [[3], ... like this here [1]. See footnote for counterpart. (If the [[ is in the first column, it is a footnote ''definition'' rather than a footnote ''reference'' [1].)
* Simple tables are available. A table row is introduced by a __|__ in the first column. It is best described by example:
| _''''_First_''''_ | _''''_Last_''''_
| __First__ | __Last__
;: Note that multiple __|__'s lead to spanned columns, and __v__'s can be used to span rows. A __>__ generates a right justified column, __<__ a left justified column and __^__ a centered column (which is the default.)
[1] By using [[1] a second time (in the first column) the footnote itself is ''defined''. You may refer to a footnote as many times as you want, but you may only define it once on the page. Note the the [[1] in the footnote links back to the first reference, if there are multiple references there will be +'s after the [[1] which will link to the other references. (References which come ''after'' the footnote ''definition'' will not be linked to.)
Click the first page to start the tour of this experimental plugin.
first page--another possible flaw) and if the Contents title is not
the first item on the Table of Contents page, and if there are other
FindPage |
SeiteFinden |
ModificaIlTesto |
Modifica: |
Afficher la Source : |
and put the code on the following lines, until the final =?>=:
highlight settings in *php.ini*. Specified colors must be a valid
Use this to pre-select a specific airport instead of using the default one which is
country than the one specified in the ICAO. So using
the metric value first and then the imperial value in parenthesis. Using =both_imperial=
fits the entire transcluded page. (See below for more.)
_iframe_ so that it fits the entire transcluded page.
Après avoir visité de nombreuses pages sur la construction d'antennes, je me suis dit qu'il fallait passer à l'acte et je vais tâcher de détailler davantage la construction. Ne sous-estimez pas la précision des mesures à faire, elles déterminent l'efficacité de l'antenne.
__L2__ (45 mm) désigne la longueur à partir de laquelle vous devrez percer un trou, en partant du fond de la boite jusqu'au couvercle, __L4__ (31 mm) désigne la longueur du fil de cuivre qui __doit dépasser du connecteur__ (être visible), enfin __L3__ (134 mm) désigne la longueur minimum de la boîte, si votre boîte à une longueur supérieure cela n'a pas d'importance.
Ne vous inquiétez pas si vous posez la pointe du fôret sur le point à 45mm vous êtes sur que ca va marcher. Ensuite il faut souder l'âme du connecteur N à votre fil de cuivre.
Pour dimensionner votre fil de cuivre, il faut que vous calculiez, de facon à ne faire sortir que 31mm de fil, quelle longueur le fil doit avoir pour buter dans l'âme. Chez moi il faisait :
Je suis à une distance de 50m, l'antenne est chez moi dans mon bureau, son ap n'a pas d'antenne avec gain, bref tout se fait à travers les murs. Donc si j'ai faible signal c'est peut etre du à son côté. Pour que vous puissiez établir une connexion sans fil, il faut débasser -70 dbM pendant quelques secondes, ensuite si ca diminue un peu (débit, dBm), c'est pas grave, mais faut pouvoir établir la liaison avant tout. Tout du moins c'est ce que j'ai pu constater avec mon matériel.
__PHASE 1 : Dimensionnement des fils et matériel__
*244 mm d'un fil de diamètre environ 1.5 mm, utilisé pour relier les installations électriques aux douilles
Faites les marques suivantes dans l'ordre afin de former les deux losanges :
Ensuite la partie la plus délicate consiste à pouvoir souder une partie à l'âme et l'autre partie sur la masse du connecteur N femelle. Pour cela vous aurez besoin de rallonger l'âme du connecteur N par un bout de fil. Il faut que le biquad soit situé à 1.5cm de la plaque de métal.
Les technologies dites "sans fil", le 802.11 en particulier, facilitent et réduisent le coût de connexion pour les réseaux de grande taille. Avec peu de matériel et un peu d'organisation, de grandes quantités d'informations peuvent maintenant circuler sur plusieurs kilomètres, sans avoir recours à une compagnie de téléphone ou de câblage.
* __Les réseaux personnels sans fil :__ ''Wireless Personal Area Network (WPAN)''
* __Les réseaux locaux sans fil :__ ''Wireless Local Area Network (WLAN)''
* __Les réseaux métropolitains sans fil :__ ''Wireless Metropolitan Area Network (WMAN)''
* __Les larges réseaux sans fil :__ ''Wireless Wide Area Network (WWAN)''
!1) Les réseaux personnels sans fil (WPAN)
Les réseaux sans-fil personnels concernent les réseaux ayant une très faible portée, de l'ordre de quelques mètres. Ils sont surtout utilisés pour interconnecter du matériel informatique de poche comme les PDA, les téléphones mobiles et même les ordinateurs portables.
HomeRF est un standard développé en 1998 par le "Home Radio Frequency Working Group", consortium qui incluait au départ : Compaq, IBM, HP, Intel et Microsoft. Ce standard utilise, tout comme le Wi-Fi, la bande de fréquence du 2.4 GHz. Il offre un débit théorique de 10 Mb/s pour un débit pratique de 3 à 4 Mb/s partagé entre tous les utilisateurs connectés. Sa portée varie entre 50 et 100 m.
!2) Les réseaux locaux sans fil (WLAN)
Les réseaux locaux sans fil sont de plus en plus utilisés au sein des entreprises et des réseaux locaux particuliers. Ils permettent la couverture de bâtiments entiers.
__2.1- Wi-Fi__
Le Wi-Fi (Wireless Fidelity) est le nom commercial du standard IEEE 802.11b/g développé en 1999. Ce standard est actuellement l'un des standards les plus utilisés au monde. Les débits théoriques du 802.11b est de 11 Mb/s et 54 Mb/s pour le 802.11g, Il est évident que le débit pratique varie en fonction de l'environnement. Le Wi-Fi utilise la bande de fréquence du 2.4 GHz. En fonction du milieu, la portée d'un point d'accès Wi-Fi varie entre 10 et 200 m.
Ce standard utilise une bande de fréquence proche du 5 GHz. Le débit théorique proposé par HiperLAN1 est proche de 20 Mb/s et celui de l'HiperLAN2 est de 54 Mb/s. La zone de couverture dépend du milieu, la fréquence ayant une longueur d'onde plus petite, celle-ci est plus sensible aux obstacles, cependant dans des milieux dégagés (type point à point) la connexion sera meilleure que pour le Wi-Fi.
!3) Les réseaux métropolitains sans fil (WMAN)
Les réseaux métropolitains sans fil sont connus sous le nom de boucle locale radio (BLR). Les BLR sont basés sur le standard IEEE 802.16. La boucle locale radio offre un débit théorique entre 1 et 10 Mb/s pour une portée de 4 à 10 kilomètres, cette technologie est principalement utilisée par les opérateurs téléphoniques.
Les réseaux sans fil étendus sont généralement connus sous le nom de réseaux cellulaires. Ces WWAN ont une plus grande portée, tous les réseaux mobiles sont connectés à un WWAN.
Sigle signifiant Global System for Mobile Communications.%%%
Standard de téléphonie mobile défini par la "GSM association", il est utilisé principalement en Europe et en Asie et dans une moindre mesure aux États-Unis.
Sigle signifiant Global Packet Radio Service.%%%
Sigle signifiant Universal Mobile Telecommunications System.%%%
Voici un exemple de configuration pour 3 sites qui s'appellent :
des adresses en ont été modifiés.
> ifconfig /sbin/ifconfig; %%%
Le fichier /etc/vtund-start.conf est utilisé sur debian pour indiquer
> ifconfig /sbin/ifconfig; %%%
Config similaire à celle du site "siteC".
5000 dans notre cas, ce qui est aussi la configuration par défaut (au moins
que j'ai pu tester) en TCP (port 5000 par défaut), mais le traffic du tunnel
à avoir dans le noyau activé le "netlink device emulation" (CONFIG_NETLINK_DEV)
et le "[tun/tap device driver|DeviceTun]" (CONFIG_TUN).
Vtun est assez efficace (bien que, comparé par exemple à des tunnels GRE, il
Concernant l'authentification, le seul fonctionnement que j'ai testé (mais je
avec des mécanismes d'authentification très complets, il y a frees/wan
la configuration (je me suis cassé les dents dessus plusieurs fois).
# on suppose qu'on arrive à un shell de login sur une passerelle (vtun, avec un client radius, cf. http://www.mcs.de/~lf/radius/); ce shell de login est obtenu suite à une authentification vis à vis d'un serveur radius.
# cette passerelle a un "__client__" vtun qui se connecte vers la machine distante ayant obtenu les crédits d'authentification; une idée de script (au login d'un utilisateur, soit en mettant ce script comme shell, soit dans un .login, .profile, .bash_profile ou autre, mais avec un sudo ou quelquechose dans ce style, car vtun doit être exécuté avec les droits root ((?) à vérifier)) :
> fi%%%
Exemples de configuration :
!Voici une liste des personnes intéressées par le developpement d'un réseau sans fil dans leur ville/commune:
Actuellement, un PC fixe, un PC portable... J'envisage dans un premier temps de supprimer mon cable rezo qui lie l'un a l'autre (enfin pouvoir utiliser le portable dans la chambre, sur la terrasse... et aussi quand je suis en déplacement, cad souvent :-) ), puis pourquoi pas me connecter avec mes voisins (d'immeuble et/ou de quartier...), puis aussi pourquoi pas partager ma connexion web (mais laissez moi en un peu please ;-) )
!!Le Firmware
Les firmwares (.bin) sont en fait des fichier __ARJ__, il suffit de les renommer avec l'extension .arj
A la fin du firmware, une fois décompressé, vous y trouverez un fingerprint :%%%
Il s'agit en fait du fingerprint du logiciel __ThreadX__ de la société Express Logic, un logiciel permettant de compiler des sources pour des plateformes très diverses.%%%
Cartes Wifi très répendues dans le monde, mais très difficiles à se procurer en France.%%%
* Leurs dernier firmware : http://www.proxim.com/support/all/orinoco/software/download/sr02_client_firmware.zip
Ceci est tout à fait possible, si vous avez un noyau 2.4.18 ou supérieur, les versions précédentes ne supportent pas bien le matériel sans-fil (d'après ce que j'ai pu lire).
Il faut maintenant compiler le noyau, dotez vous du dernier noyau si possible, ca sera le 2.4.26 à l'heure ou la page est modifiée.
>! make menuconfig%%%
(''update de billou'' : étaient en effet facultatives : CONFIG_STRIP=y CONFIG_WAVELAN=y CONFIG_ARLAN=y CONFIG_PCI_HERMES=y)
>! cp /usr/src/linux/.config /boot/config-2.4.26%%%
Pourquoi télécharger le driver windows ? Tout simplement pour récupérer son firmware car le driver linux fonctionne de la même facon. Le driver linux charge un firmware puis un module chargé de l'interaction carte <> noyau. Pour les inititiés, un firmware Linux est disponible et peut être amélioré.
>!cp Win2000/WLANGEN.BIN Win2000/RADIO0d.BIN Win2000/RADIO11.BIN firmware/%%%
Voilà ca semble fonctionner. Un petit tour du côté d'ifconfig :
>!iwconfig wlan0%%%%
>!iwconfig wlan0 nickname ritalman essid ritalman.nantes-wireless.org rate 22M%%%
Et voilà vous êtes sur votre réseau sans-fil préféré :)
Bien penser à mettre à jour les tables de routage si vous passez d'une connexion filaire (ethX) à une connexion sans-fil.
membre de lillesansfil.org et de wifisansfrontieres.org
Développés par Jean Thourrilhes, ils permettent de configurer le SSID, le WEP, le débit ... sous linux (pas testé sous BSD ou autres Unix) bref tout ce que votre windows fait plus facilement, mais c'est moins marrant aussi.
Les fichiers executables sont :
iwconfig iwevent iwgetid iwlist iwpriv iwspy
%%%Syntaxe pour le paramètrage d'une interface wifi
iwconfig __[nom_interface]__ mode __[managed ou ad-hoc]__ channell __[1...13]__ essid __[votre_ssid]__ nickname __[votre_pseudo]__ rate __[1 2.2 5.5 11 22]__
>Oui payant si la mairie de Campbon devient sont propre opérateur et souhaite auto financer le projet
>La mairie devrait en financer le reseau wifi à 50 % après demande de propre operateur
* Corriger la création des fichiers RSS pour les news (bug de wireless-fr).
* Les pages wiki qui n'ont pas été modifiées depuis longtemps peuvent être mises sous SPIP (meilleur prénsentation, indexation, recherche ...)
* [Forum] Rajouter a droite du Titre "Forum de Nantes-wireless", un logo modifié "NW Wiki" qui renvoi directement sur le Wiki
*[Configuration Sous BSD| ConfigurationSousBSD]
*[Configuration d'un AP en mode Bridge|ConfigurationBridge]
Novice pour l'instant, je pense m'équiper prochainement en wifi,
Carte Wifi :|
Carte Wifi :|
- soit de souder un fils avec un connecteur N et le laisser pendouiller
* Connexion Sans-Fil jusqu'a 22 Mbits%%%
* Filtrage par Adresse MAC%%%
* Filtrage des protocoles de la couche 2 :
* Firewall / Filtre%%%
* __Prix :__ 221 Euros ([www.charlie44.com|http://charlie44.com/fiche_prodp.asp?nom=Neuf-11/02/200314:26:41HOANGBUREAU])
__Configuration :__
Lors de la première configuration, il suffit de configurer la carte Wifi du client en mode DHCP (Attribution automatique des adresses IP)%%%
Pour vérifier que l'AP est fonctionne, pinger l'adresse
Ensuite, la configuration se fait à l'aide d'une interface Web.%%%
* Configuration du Réseau Sans Fil :%%%
* Configuration du Service DHCP :%%%
*Configuration d'un carte Wifi sous [Windows XP SP2|WindowsXPSP2Config]
*Configuration d'un carte Wifi avec WPA sous [Windows XP SP2|WindowsXPSP2ConfigWPA]
*Le point d'accès [Befw11s4|ConfigurationBefw11s4].
*Le point d'accès [D-link DSL-604+|ConfigurationDuDSL604+].
*Le Portable IBM [ThinkPad a31 (Ajout d'une carte Wifi)|BricolageIBMThinkPada31]
!!Voici une Liste de matériel Wifi disponible sur le marché avec quelques détails techniques :
[AP - Routeur - Switch|http://www.planet-wifi.be/FR/configs/DLINK/DWL-1000AP+/h_wireless.html]|
[AP - Routeur - Switch|http://www.planet-wifi.be/FR/configs/DLINK/DI-614+/h_wizard.htm]|
[AP - Routeur - Switch|http://www.planet-wifi.be/FR/configs/linksys/index.htm]|
[AP - Routeur - Switch|http://www.planet-wifi.be/FR/configs/linksys/WRT54G/index.html]|
[AP - Routeur - Switch|http://serverperso.com/wifi/interfaces/wag54g/]|
J'ai trouvé ceci qui liste aussi les caractéristiques du matos wifi
Une petite synthèse de l'assemblée générale de la fédération à permis de faire connaitre le mouvement Wifi français et les projets national qui sont prévus ainsi que les moyen d'authentification proposés.
Un petit test a été réalisé pour montrer le fonctionnement du Wifi.
!Configuration et documentation d'un serveur d'authentification pour le futur WMAN nantais.
* Installation et configuration d'un serveur FreeRadius pour pouvoir authentifier des clients PPTP et 802.1x.
* Configuration d'une base MySQL pour la duplication des données entre les serveurs d'authentification.
* Création ou installation d'un utilitaire de monitoring permettant de surveiller le trafic réseau et les échecs d'authentification.
!Création d'un package pour les futurs noeuds du réseau sans fil.
Ce package devra contenir les utilitaires suivant préconfigurés pour le réseau Nantes-Wireless:
* IPTables (les scripts de configuration)
Kismet est un équivalent de NetStumbler, pour linux. C'est donc un sniffer de réseaux sans fil 802.11 -C'est un outil qui diffère d'Ethereal ou de tcpdump, car il peut distinguer et analyser tous les réseaux qui se trouvent à proximité. Kismet fonctionne avec toutes les cartes sans-fil norme 802.11b qui est capable de rendre compte des paquets de données bruts (doit supporter rfmon), cela inclu n'importe quelle carte à base de chipsets prism2 (Linksys, D-Link, Rangelan, etc), cartes Cisco Aironet, et cartes Orinoco. Kismet supporte également le matériel WSP100 802.11b remote sensor de Network Chemistry et peut aussi scanner les réseaux 802.11a si les cartes utilisent un chipset ar5k
Kismet à l'énorme avantage d'être un sniffer de réseau sans-fil passif ce qui le rend quasimment indétectable, contrairement à NetStumbler qui lui est actif.
!! Installation et configuration :
Si vous utilisez une carte avec un chipset Atheros. Il faut configurer Kismet en mettant :
>! madwifi_g,ath0,atheros
Sinon reportez vous au fichier README qui est bien détaillé sur ce sujet.
Détails sur le réseau sans-fil :
!!!Serveur Radius (Remote Authentification Dial-In User Service)
Un serveur RADIUS n'est pas du tout dédié aux réseaux sans-fil, ce n'est qu'une possibilité parmi d'autres.
Le principe est exactement le même (connexion, validation du couple login/mot de passe, attribution d'adresse IP), il n'y a que le support physique qui change. C'est également pourquoi on appelle ce type d'authentification 802.1x, elle est indépendante du support physique définis par l'IEEE.
* Un serveur RADIUS peut agir en tant que proxy RADIUS pour d'autres serveurs RADIUS, ainsi que pour d'autres systèmes d'authentification (LDAP, SQL Server, ...) Une hiérarchie peut être ainsi implémentée.
* Toutes les transactions RADIUS sont authentifiées par l'utilisation d'un secret qui n'est jamais transmis sur le réseau. De plus les mots de passe sont encryptés en utilisant cette même clé secrète.
!Exemple d'authentification :
*Un NAS reçoit une requète pour une connexion à distance (via Internet ou entre réseaux LAN/MAN/WAN), il envoi une demande d'anthentification au serveur RADIUS. Si l'utilisateur est accepté, le serveur RADIUS authorise et détermine les services auxquels l'utilisateurs pourra accéder ainsi que les paramètres de connexion.
*** ACCEPT - l'utilisateur est authentifié.
''Remarque : Le protocole RADIUS est principalement utilisé pour les authentifications d'utilisateurs. Une fois l'authentification effectuée, son travail se poursuit par l'échange de messages d'accounting permettant d'enregistrer l'utilisation du hotspot voire grâce aux messages Accounting-Start et Accounting-Stop.''
!!Configuration de vtun (/etc/vtund.conf par défaut) :
Les routeurs doivent être configurés pour router (!)
Ce paramètre n'est pas permanent (appliqué jusqu'au prochain reboot; pour le rendre permanent, il est nécessaire de modifier un fichier de configuration (variant selon la distribution); sur une debian woody, il faut mettre
vtund peut aussi utiliser un autre fichier de configuration que celui proposé dans /usr/local/etc/vtund.conf
Des routes statiques sont automatiquement ajoutées (lignes ip "route add ..." dans les sections correspondant aux différents tunnels). La difficulté ici, est que ces routes ne peuvent être ajoutées qu'une fois les tunnels montés (d'où l'idée de mettre ces commandes d'ajout de routes dans le fichier de configuration de vtund, celui-ci exécutant les commandes "up" lorsque le tunnel est établi). Les routes correspondant aux tunnels sont automatiquement supprimées par le noyau linux lorsque les tunnels tombent.
[Zebra] pourra être utilisé pour ça (le routage dynamique). Le problème est le même ici que pour le routage statique : les interfaces (liaisons) correspondant aux tunnels n'existent que si le tunnel est monté. [Zebra] refusera d'en entendre parler si les tunnels ne sont pas montés; peut-être qu'en envoyant un message à zebra (avec un socat dans le up de vtund.conf ou qqc comme ça) lorsque les tunnels sont montés... [EssaiConfigZebra]...
Il peut arriver que la connexion ne se crée pas. Dans ce cas vérifiez le fichier de log de votre système : "/var/log/syslog"%%%
>Jul 27 18:31:24 toto vtund: Can't allocate tun device . No such file or directory(2)%%%
*Vérifiez que le kernel soit bien compilé avec l'option "CONFIG_TUN"
Autre cas d'erreur, on a bien l'interface tunX d'affichée, mais elle n'est pas configurée
!!Exemple de configuration de Zebra pour NW :
!Fichier /etc/zebra/zebra.conf :
>log file /var/log/zebra/zebra.log%%%
!Fichier /etc/zebra/ospfd.conf :
* Les interfaces spécifiées dans /etc/zebra/zebra.conf et /etc/zebra/ospfd.conf sont celles sur lesquelles le routeur peut annoncer ses routes et celles sur lesquelles il peut recevoir ses routes.
* Le mot clé __"router ospf"__ identifie la configuration du routage dynamique ospf; le paragraphe qui suit concerne ospf
* Le mot clé __"network"__, suivi d'une adresse IP de réseau + masque, identifie un réseau participant à ospf : c'est-à-dire un réseau sur lequel on va annoncer des routes et sur lequel on va récupérer des annonces de routes.
* Le mot clé __"neighbor"__ suivi d'une ardresse IP de machine, identifie une adresse IP d'un routeur avec lequel on peut échanger des annonces de routes; c'est utile lorsque zebra n'arrive pas tout seul à découvrir les routeurs voisins (avec qui on partage directement une liaison), si les interfaces ne supportent pas le multicast, par exemple (mais [VTun] semble supporter le multicast).
* Les mots clés __"redistribute connected"__ signifient que l'on ajoute aux routes ospf (celles qui sont annoncées), les routes figurant dans la table connected (faire un telnet localhost 2601, puis "show ip route connected" pour voir cette table, "show ip route" affichera toutes les tables de routage); cette table de routage contient les routes locales, qui n'ont pas été apprises par OSPF. Les routes apprises par OSPF sont automatiquement annoncées ("show ip route ospf" pour afficher les routes apprises en OSPF).
* Les mots clés __"distribute-list output_filter out connected"__ spécifient des règles de filtrage sur les routes qu'on annonce (je n'ai pas du tout compris comment ça marchait).
** __"show ip ospf neighbor"__ : affiche la liste des voisins
(Source : [http://wifi.erasme.org])
Ces éléments convergent globalement vers le fait qu'il n'existe pas d'élément indiquant qu'un danger pourrait exister avec la puissance d'émission en vigueur pour le WiFi en France, à savoir 100 mW PIRE autorisés par l'ART. Les rayonements liés à l'utilisation du Wifi sont en effet négligeables par rapport à ceux auxquels nous sommes soumis quotidienement depuis plus de 50 ans : relais TV, relais FM, téléphones portables, rayonement des appareils électriques, écrans, ect.
Le WiFi émettant une puissance rayonnée dix fois moins importante qu'un téléphone portable, et la puissance décroissant avec le carré de la distance, nous avons évalué que placer un élément radio WiFi à 1 mètre revient à poser un téléphone portable en marche à 3 mètres.
Les effets thermiques, peuvent être amplifiés si les fréquences auquelles le corps est soumis, est proche des fréquences de résonance du corps.
"Un système physique est dit résonnant lorsqu'il est susceptible de modifier son état d'équilibre et d'emmagasiner de l'énergie, sous l'influence d'une sollicitation externe à une fréquence bien particulière. Cette fréquence correspond à la fréquence de résonance du système."
Vous pouvez donc monter un réseau sans-fil, sans risque de santé majeur, tout du moins même avec une certaine dose d'absorption d'ondes par jour. Cependant, à long terme, aucune expérience n'a encore été menée pour souligner les effets néfastes des ondes radio électriques.
Le wifi sur la bande du 2.4GHz est libre d'emploi en intérieur et exterieur, une limitation de la puissance d'émission du matériel est à respecter : %%%
Le wifi sur la bande du 5GHz est libre d'emploi en intérieur et en partie à l'exterieur, une limitation de la puissance d'émission est en place, ainsi que quelques contraintes techniques particulières : %%%
En outre, avec les nouvelles lois anti-terrorisme, un opérateur Wi-Fi (ou WISP) doit sauvegarder pendant un an toutes les connexions, permettant de retrouver l'utilisateur de façon nominative, ainsi que les infos permettant de retrouver les personnes à qui il a envoyé des infos, si c'est possible.
Pour finir, le propriétaire d'une connexion à Internet en est responsable. Si vous laissez votre connexion en accès libre, votre responsabilité peut être engagée si quelqu'un abuse de votre connexion (en téléchargeant des fichiers illégaux, en hackant le Pentagone, en fraudant avec des cartes bancaires...).
Amélioration de la norme 802.11b, elle n'est pas officielle mais crée par des constructeurs (ex : DLink).%%%
!!A titre indicatif la configuration suivante fonctionne très bien :
Débit : Haut Fixe (Windows XP à travers gestionnaire de périphériques -> 2 mbits)
Normalement le constructeur a prévu que le débit s'adapte de facon automatique pour que le matériel hors Dlink puisse interopérer avec le matériel Dlink, seulement on peut avoir des difficultés de connexion
!!Configuration entre DWL900+ et DWL-G650
Attention, on a beau avoir acheté du matériel DLink (ou l'avoir transformé), le 802.11b+ n'est pas interopérable avec le 802.11g. Par exemple, un point d'accès configuré avec le mode 4x activé, et des basic rates en 22mbps, empêche toute carte 802.11g (même Dlink) de se connecter. Il faut donc désactiver le mode 4x et remettre les basir rates à 11mbps.
Il n'y a vraiment pas grand chose de pertinant dans ce standart pour les installateurs de réseau sans-fil.%%%
Quand le 802.11 est devenu accessible, seule une poignée de domaines de normalisation (par exemple, ETATS-UNIS, Europe, et Japon) ont mis des règles en place pour le fonctionnement des réseau sans-fil (802.11).%%%
Afin de soutenir une adoption répandue du 802.11, le groupe du travail 802.11d a émis une charte pour définir les conditions de PHY qui satisferont l'harmonisation des normalisations dans de nombreux autres pays.%%%
When 802.11 first became available, only a handful of regulatory domains (e.g., U.S., Europe, and Japan) had rules in place for the operation of 802.11 wireless LANs. In order to support a widespread adoption of 802.11, the 802.11d task group has an ongoing charter to define PHY requirements that satisfy regulatory within additional countries. This is especially important for operation in the 5GHz bands because the use of these frequencies differ widely from one country to another. As with 802.11c, the 802.11d standard mostly applies to companies developing 802.11 products.
En conséquence, le groupe de travail 802.11e est en train d'affiner le 802.11 MAc (Media Acces Layer) pour améliorer le QoS pour une meilleure suportabilité des flux audio et vidéo.%%%
Comme le 802.11e fait partie de la couche MAC, il doit être commun à tous les matériels 802.11 (PHY) et une compatibilité descendante avec du matériel 802.11 est assurée. De plus, il sera possible d'effectuer des mises à jour des firmwares des points d'accès existant permettant ainsi la prise en charge du 802.11e.
Without strong quality of service (QoS), the existing version of the 802.11 standard doesn't optimize the transmission of voice and video. There's currently no effective mechanism to prioritize traffic within 802.11. As a result, the 802.11e task group is currently refining the 802.11 MAC (Medium Access Layer) to improve QoS for better support of audio and video (such as MPEG-2) applications.%%%
Because 802.11e falls within the MAC Layer, it will be common to all 802.11 PHYs and be backward compatible with existing 802.11 wireless LANs. In addition, you should be able to upgrade your existing 802.11 access points to comply with 802.11e through relatively simple firmware upgrades once they are availabe
Le standart 802.11 existant ne spécifie pas les communication entre les Points d'Accès afin de supporter les utilisateurs voulant effectuer du Roaming d'un Point d'Accès à un autre.
Le problème est qu'il est impossible de mettre en place un système de Roaming entre des Point d'Accès de marques différentes. Le groupe de travail 802.11f est en train d'élaborer un protocol permettant aux Point d'Accès de communiquer afin de fournir les informations nécessaire pour supporter des fonctions telle que le Roaming.
En l'absence du 802.11f, il est indispensable d'utiliser des Point d'Accès de même marque pour assurer l'interoperabilité. Dans certains cas, des AP de diférentes marques peuvent marcher particulièrement si les Points d'Accès sont certifiés Wi-Fi.
In the absence of 802.11f, you should utilize the same vendor for access points to ensure interoperability for roaming users. In some cases a mix of access point vendors will still work, especially if the access points are Wi-Fi-certified.
802.11i définit activement des perfectionnements de la couche MAC pour remplacer le WEP (Wired Equivalent Privacy). La norme 802,11 existante utilise des clefs relativement faibles et statiques de chiffrage sans aucune forme de gestion de distribution. Ceci rend possible pour les intrus d'accèder à des données WEP-chiffrées sur votre WLAN. 802.11i incorporera 802.1x et des techniques plus fortes de chiffrage, telles qu'AES (Advanced Encryption Standard).
802.11i is actively defining enhancements to the MAC Layer to counter the issues related to wired equivalent privacy (WEP). The existing 802.11 standard specifies the use of relatively weak, static encryption keys without any form of key distribution management. This makes it possible for hackers to access and decipher WEP-encrypted data on your WLAN. 802.11i will incorporate 802.1x and stronger encryption techniques, such as AES (Advanced Encryption Standard).
Le wifi sur Nantes%%%
Le craififi%%%
* http://sourceforge.net/projects/madwifi/
Fait actuellement un dossier sur le sans fil (Bluetooth, mais surtout Wi-Fi).
La norme WLAN IEEE802.15.3 vient d'être adoptée par l'IEEE (Institute of Electrical and Electronical Engineering). Contrairement aux technologies WLAN 802.11b ou 11g, aujourd'hui largement répandues, celle du 15.3 autorisera des bandes passantes garanties. Dès que le lien est établi entre deux intervenants sur le réseau, le flux de données peut travailler suivant un taux de transmission fixe. Ceci joue un rôle important pour les applications multimedia avec video-streaming, mais également pour les services de téléphonie, tel que Voice over IP. 802.15.3 est donc appelé à devenir le standard WLAN pour les appareils numériques de communication.%%%
*2 Cartes WiFi qui fonctionnent ;)%%%
Le DATEADEFINIR seront présent :
L'installation et la configuration d'un serveur durent moins de vingt%%%
Le signal est modulé de facon pseudo aléatoire. Au final le signal s'étale sur toute la bande de fréquences disponible.
fO ou f1 est augmenté d'une fréquence pseudo aléatoir notée fi à un instant donné.
ce qui fait que f0+fi signifient 0 et f1+fi signifient 1 lorsque les deux couples (fO+fi ou f1+fi) de fréquences sont émis.
Coordonner les fonctions de la carte wifi à partir de la scrutation ou polling.
Du fait que le PIFS est plus court que le DIFS la station centrale peut accaparer le support et bloquer le traffic asycnhrone pendant l'envoie de scrutations.
Si on prolonge l'utilisation du PIFS on peut bloquer le réseau. Pour palier à cela, une super trame correspondant à un intervalle défini à été définie. Lorsque la durée de la super trame est écoulée, la station centrale libère le réseau.
Salut donc voila je suis nouveau sur nantes et très interessé par la reseau sans fils
disposant d'une carte wifi intel
!!I] Configuration de l'AP
!!II] Configuration du serveur syslog
Un simple serveur type syslogd suffit.
vous pouvez modifier de façon permanente les options de lancement du syslog dans :
Dans l'éditeur,repérez et modifiez la ligne en tapant sur la touche insertion :
!!III] Configuration du firewall
Le syslog écoute sur le port 514 UDP donc il faut ajouter une règle de firewall adéquate :
Editez le fichier /etc/hosts
!!IV] Configuration de /etc/syslogd.conf
La 2e ligne redonne les permissions lecture/ecriture sur le fichier de logs pour le script php.
%%%Et enfin __un script php__ pour afficher les pages :
!L'interface n'utilise que 4 fils :
Il faut également repérer ces 4 fils sur le wap11
Ensuite prenez des fils type "ethernet" et soudez les à des broches libres par exemple 7 et 8
!Les Canaux IRC des Réseaux sans-fil francais :
!!!Projet WifiBox
(RItalMan) : C'est toujours possible de brancher le LCD en interne, suffit de souder directement sur les connecteurs au dos de la carte mère
Il semble en fait que ce soit un combo "Borne d'acces wifi, Routeur/radius, et Uplink wifi"
C'est un C3 anciene génération, pour le pc citer il suffit d'acheter une barrete de sdram et une compact flash. ca reviendrait à un peu moins de 350 euros.
Faudrait mieux se concentrait sur le soft :) avec lyon, on pourrait intégre l'interface PHP à leur distri. bref une wifibox ca s'achete en neuf c'est moins chère, meme si ca possède pas une alim à backup et à haut rendement (lol).
(garfield) c'est du wiki! Je ne suis pas de nantes mais j'adore votre projet. J'ai actuellement un serveur web, firewall et wifi a la maison mais il est un peu bruyant. La carte mere a les memes composants que la C3 de darkkro. Mon site pour plus d'infos sur le serveur: http://pokie.dyndns.org/serveur.php?sub=sys actuellement il y a une slackware dessus
(PRoSPeRe) : C'est sympa garfield :) (http://prospere.ath.cx), tu es de où exactement ?
(garfield) de grenoble. Je sens que je vais en commander un. Il y a-t-il un membre du groupe qui a deja commande du matos chez linitx ? Je viens de faire une image slackware 9.0 de mon serveur sur 80Mo. J'ai dhcp, iptables, ftp, email, http, snmp, ntp, ssh, telnet.
Projet qui visera à pouvoir administrer par le web une wifibox.
Le logiciel vous permettra de configurer les paramètres suivants :
*Ajouter et/ou supprimer des règles de firewall permantentes
*Modifier les adresses IP
*Modifier la plage d'attribution DHCP
La WifiBox devant être un mini pc présentant le moins de fonctionnalités possible, il faudra pouvoir le configurer ou modifier les paramètres presque entièrement depuis le Web. Ceci étant vous pourrez toujours avoir accès à un shell notamment par Shellinabox par exemple.
# Une ligne ADSL avec IP FIXE ou/et un accès au reste du réseaux par WIFI, ca va de soit qu'on ne peut pas mettre une node isoler
''Ce qui est écrit en dessous prend un cas o`u un pc sur linux ou bsd est déjà pret et configurer, il y a pas d'autre alternatif à Linux ou BSD.''
Dans la config de l'ap activer le mode 802.1x, pour l'encryption metter 64bit, le temps de vie de la clé sera le plus court disponible, après metter l'IP des deux serveurs RADIUS en précisant le port ainsi que la clé.%%%
La configuration du routeur se passe en deux temps :
Dabord vérifier sur votre gateway que vous avez laisser ouvert le port 5000 en UDP pour laisser passer le tunnel VPN.
Après avoir installé le VTUN, allez dans le fichier /etc/vtund.conf (ou créer le) et mettez ceci :
> ifconfig /sbin/ifconfig;%%%
Après vont apparaitre la config suivant le serveur :
De votre coté vous aurez a mettre ceci (ne copier pas les <---- dans le fichier de conf):
> ip "route add dev %%"; ''<--- La classe IP avec le masque sous forme de préfix de celle DU SERVEUR (ATTENTION)%%%''
Voila c'est ce que vous avez a rajoutez en plus a votre fichie de conf, vous avez 4 paramèttre à changer :
Pour lancer VTUN il suffit de taper :
Si ca marche pas -> http://www.nantes-wireless.org/pages/wiki/index.php?pagename=EssaiConfigVTun
* discussions techniques et tests de réseau sans fil
s'intéressant aux technologies de réseau sans fil, notamment grâce au
* construire un réseau métropolitain s'appuyant sur les technologies wifi,
* en particulier développer l'information, les tests et la mise à disposition de matériel wifi (prêts de matériel et commandes groupées notamment)
* en favorisant la construction d'ilôts de points reliés en wifi,
* cette infrastructure pouvant s'appuyer sur des technologies autres que les réseaux sans fil (tunnels sur internet, l'éventualité de s'appuyer sur des infrastructures de réseaux publics existant a été évoquée).
wifi, mais hésitant à investir eux-mêmes, de pouvoir tester les possibilités du
réseau sans fil dans leur environnement.
Il est néanmoins souhaitable, afin de conserver la dynamique locale de l'association,
Les affectations des membres du CA au bureau ont été définies de la manière suivante :
de chacun peuvent évoluer, être adaptés, et définis de manière plus précise par la suite.
d'évènements (NDR: consultez la liste du [Matériel Wifi|MatérielWifi] de l'association).
Il est apparu que la plus forte concentration de liaisons wifi en service actuellement était autour du quartier Zola. Un des objectifs
les caractéristiques techniques du wifi (sensible aux obstacles) et les réglementations télecom (sur la puissance d'émission par exemple) rendent illusoire, pour
l'instant, un maillage complet du réseau en wifi. Il est donc nécessaire de compléter le réseau par d'autres moyens. A cette occasion, une
réflexion plus large sur l'infrastructure du réseau est menée (authentification radius, par exemple) (NDR: voir l'[InfrastructureRéseau] et
* tests et projets sur l'authentification (NDR: [FreeRadius]),
Une coordination de ces travaux est nécessaire. Des objectifs communs ont pu être définis, en particulier sur l'obtention d'un dispositif d'interconnexion facile à déployer pour chacun des participants.
L'objectif est d'obtenir un soutien technique (l'utilisation d'infrastructures réseau existantes) et/ou financier.
-Aide financière pour se connecter au réseau Oméga et pour mettre des noeuds un peu partout%%%
L'objectif est d'obtenir un soutien technique (l'utilisation d'infrastructures réseau existantes) et/ou financier.
[] (source: []).
__R:__ Dans [les conditions d'accès et d'utilisation|http://www.renater.fr/Services/Procedures/ConditionsUtilisation.htm], on a peut-être une petite fenêtre dans le "Les services du GIP Renater sont ouverts aux utilisateurs publics ou privés ayant une activité dans les domaines (...) du développent technologique ou de fourniture d'informations scientifiques, techniques ou culturelles".
__R:__ 2 pistes : 1) inclure ça dans les demandes de financement; 1bis) voir si on ne pourrait pas obtenir un sponsorat de la part de Renater, qui nous offrirait la bande passante et/ou l'accès au réseau; 2) voir si, après un accord de principe de Renater, on ne peut pas partager une connexion déjà existante (genre avec l'Université).
__R:__ Il existe peut-être une opportunité à saisir (voir par exemple fin de la section 3.3 de [http://www.synapse.paysdelaloire.fr/Observatoire/Chaine+de+contenus/initiatives+remarquables/Omega.htm]) pour exploiter des infrastructures réseau existantes, et qui ont été financées sur des fonds publics (voir notamment
la phrase "Celui-ci permet de relier les sites éloignés du réseau et offre un panel important de solutions (fibre optique, boucle locale radio, liaison hertzienne et, à venir, WiFi).", surtout le "et, à venir, WiFi", qui, je pense, mériterait d'être creusé...).
__R:__ Il faut chercher à utiliser les fibres (>= 1 Gbits/s.)
*Dimension pédagogique indéniable (sur les technologies wifi, radio, sur le déploiement d'un réseau à l'échelle d'une ville ou d'une région)
*Succès passés (pour le wifi, pour les réseaux citoyens, pour l'association elle-même)
*Les avantages du wifi (mobilité, performances (en débit, par exemple), couts réduits, intégration aisée dans des tas de trucs (dont des ordinateurs, notamment)
> __R:__ Les projets mégalis (des [appels à projets Mégalis|http://www.megalis.org/Usages/projets.html] ont eu lieu en 2001, 2002 et 2003 espérons qu'il y en aura un pour 2004)) ont une enveloppe globale de financement de quelques millions d'euros. Les projets retenus ont des budgets allant jusqu'à quelques dizaine (centaines ?) de milliers d'euros, dont un pourcentage important (jusqu'à 50%) peut-être financé par Mégalis.%%%
> Mais les aides publiques ne peuvent pas financer l'intégralité du projet (ou, dans l'autre sens, le budget du projet ne peut pas dépendre uniquement des aides publiques); il faut donc trouver d'autres sources de financement. Tout apport peut compter dans cette autre source de financement : dons (en argent et en matériel), apports personnels de matériel, cotisations, énergie humaine mise en oeuvre, ...%%%
> Au niveau de la communauté urbaine de Nantes, il n'y a pas d'appel à projets à proprement parler, mais peut-être qu'on pourra demander une aide financière, peut-être dans le cadre d'une action d'aménagement du territoire (genre développer un dispositif d'expérimentation d'accès en wifi dans les arrêts de bus ou de tram).%%%
*De nouvelles applications, proposées par les collectivités (genre plancher sur de la diffusion de vidéo (très à la mode en ce moment)), découvrir de nouvelles techniques (peut-être qu'avec un peu de chance, on aura des routes à annoncer en BGP ou à faire cohabiter du trafic ATM et ethernet sur la même fibre)
Il y a des jolis immeubles très haut ou on pourrait mettre des noeuds totalement wifiser avec systeme solaire et batterie, ca devrait pas couterait énormement chère et ca serait permanent.On pourra rester dans la législation en plus :) si le maillage est bien mis.
Sur les toits, dans les arrêts de bus, de tram (peut-être que, étant donné que les fibres à 1 Gbits/s. d'Omega passent sous le tram...), voire pourquoi pas dans l'éclairage public (là, on est vraiement sûrs du maillage, en plus, on a moins de problèmes pour l'alimentation électrique) (à voir peut-être avec la CUN, justement (on va pas pirater un lampadaire...)). Peut-être qu'une piste pour arriver à tout ça, c'est de chercher à faire des noeuds au plus bas coût possible (et la plus faible consommation).
__R3:__ Plus le territoire sera couvert, plus les interconnexions seront facile à réaliser en wifi
__Q:__ Squatter des endroits bien placés pour le wifi (ex. des toits d'immeubles bien hauts) ? Où peut-on installer des noeuds ? Peut-on envisager de squatter des endroits qui ne sont pas des propriétés des membres de l'asso (du domaine public, appartenant à une collectivité locale, à une boite, ...) ?
Peut-être qu'une piste pour arriver à tout ça, c'est de chercher à faire des noeuds au plus bas coût possible (et la plus faible consommation). Si quelqu'un se sent pour un challenge du genre mettre tout ce qu'il faut pour un noeud, avec une consommation de moins de 5W, pas trop volumineux et pour moins de 500 balles... ([ProjetWifiBox]) + chercher toute source d'énergie possible pour alimenter la bête + des sites où elle serait bien positionnée...
>Mais si on a accès a des toits,arret de tram, lampadaire, il y aura le matos spécifique pour ca (on favorise la faible consom et la miniaturation pour les lampadaires,et autre ....)(darkkro)
>Le tout c'est de trouver ce matos spécifique... (Rémi)
>Voir si c'est moins cher d'acheter un AP ou de faire un AP+routeur+tunnel+ethernet sur un linux (ou bsd ou autre), sachant que ça doit pouvoir tourner sur du matos franchement bas de gamme (on peut faire un super routeur avec un 486 et on trouve des 486 dans des poubelles sans trop de difficultés (bon, ok, le 486 au niveau consommation et encombrement c'est pas top et au niveau "mettre en avant des technologies de pointes", on fait mieux..., mais c'était pour donner l'idée), peut-être jeter un oeil sur des trucs genre [http://www.embedded-linux.org/]), et avec peut-être des cartes PCI pas chères et des antennes. Bon ok, pour les 500 balles et 5W, j'étais peut-être un peu optimiste... Ce qu'il y a de sûr, c'est qu'on aura du mal à aller mettre un athlon XP dans un lampadaire (surtout s'il consomme plus que l'ampoule). (Rémi)
>Ou le faire faire par une boite ?Autrement dans ton idée il y a des systeme embarqué genre http://www.soekris.com/, pas de wifi intégré.... ou sur linitx mais le prix :/
Il y a une ambiguité : en admettant qu'on arrive à nos fins, qu'on ait un réseau bien maillé, utilisant du wifi et des fibres à 1 Gbits/s. et que le tout soit ouvert, il n'y aurait pas trop d'obstacles à faire passer de l'internet dessus. On pourrait même, sans plus de difficultés techniques, faire passer de l'internet à un débit proche de celui permis à l'intérieur du VPN. Un gros gros argument serait alors de mettre en avant un accès internet gratuit (pour ceux qui se relient au réseau, dans des hotspots, dans la rue, ...), mais on serait alors en situation de concurrence avec des opérateurs réseau ou des fournisseurs d'accès internet; le problème, c'est qu'on serait en concurrence déloyale si on était financés sur des fonds publics (bon, on peut surement discuter sur cette déloyauté, vu que les opérateurs réseau fournissant de l'internet en France reposent tous, pour leur fonctionnement, quelquepart sur des investissements publics); en tout cas, je pense qu'il y aurait un risque de collisions avec d'éventuels intérêts autres que les notres de la part de ceux à qui on propose les dossiers. D'un autre côté, quelqu'un, à la CUN ou à la région qui lit un dossier sur la création d'un réseau citoyen, sur IP, va très certainement se douter qu'on pourra faire passer de l'internet dessus; il y aura probablement de nos interlocuteurs éventuels qui y seraient très favorables d'ailleurs; de plus, l'internet lui-même correspond à un entrelacement de réseaux. Bref, il faudra bien étudier les interactions entre tout ça, et éventuellement tater le terrain + des démarches administratives en perspective si on veut des adresses IPv4 publiques (une piste qui pourrait peut-être simplifier tout ça serait de faire un VPN en IPv6 à l'intérieur (outre que c'est plus facile d'avoir des adresses IPv6 publiques, on aurait probablement moins de réaction de crainte de concurrence (quoiqu'il soit quand même possible de faire passer de l'IPv4 donc de l'internet (actuel) dans de l'IPv6))).
>Pour le passage des VPN eux-mêmes, il y a nettement moins de problèmes; il s'agit de faire passer des données d'un point identifié à un autre point identifié. (Rémi)%%%
>Pour en revenir à ce que pourraient nous apporter les réseaux publics, au niveau de la connectivité à l'internet, c'est aussi qu'on sera obligés, à un moment ou à un autre, d'utiliser l'internet pour faire passer le VPN lui-même (même à l'intérieur de Nantes, les fibres d'omega n'allant pas partout, et, à plus forte raison pour la connectivité avec les autres régions). (Rémi)
>Tout à fait d'accord, mais si on fait des maillages locaux avec une bande passante de 60 Mbits/s. et qu'on veut les interconnecter entre eux (genre, relier un ilot fait au petit port avec un autre fait à Zola, sachant qu'il y a des zones où ont peut pas couvrir en wifi (l'hippodrome qui est entre les 2 par exemple)), il faudra des liaisons d'autant plus haut débit que le débit local est important (ça serait dommage de relier à 512 Kbits/s. deux réseaux à 60 Mbits/s.), et c'est là (aussi) qu'il nous faut de l'aide (Rémi).
*On n'a pas énormément de ressources financières
>Oui. Le fait qu'on demande à des boites est plutôt un gros avantage, je pense. Ca permet en plus de montrer qu'on ne dépend pas d'une seule source de financement (dans les dossiers de demande de subventions, il faut montrer qu'on ne dépend pas que de la subvention). Au niveau des boites, ça peut être aussi un avantage de montrer qu'on s'inscrit dans des projets locaux. Peut-être qu'une piste à creuser serait de faire des dossiers en incluant des boites. (Rémi)%%%
>Oui ca peut rapporter ;), on y avait penser pour la feu wifibox (darkkro)
*Je pense qu'il faut voir Omega ou Mégalis plutôt comme des réseaux d'interconnexion et non des fournisseurs d'accès internet. Outre un éventuel soutien financier (ou en matériel ?...), ils peuvent aider à relier des points éloignés (dans la ville, la région ou entre les régions), et affirmer un soutien institutionnel aux activités de l'association.
*Il faut tenir compte des infrastructures existantes (on aurait probablement du mal à demander à la communauté urbaine d'enterrer de nouvelles fibres optiques, par exemple), qui ne répondront peut-être pas à toutes les situations tout de suite.
>Pour l'appel à projet de Megalis http://www.megalis.org/Usages/projets.html il y a pas eu l'appel de 2004 :) si c'est en fin d'année 2004 on aura 6 bon mois pour faire un gros dossier.
*Le [réseau O.Mega|ReseauOmega] de la communauté urbaine de Nantes est officiellement lancé (depuis septembre 2003).
4.Dossier pour la CU pour demander d'aide financiere et cie ?%%%
6.Dossier pour les entreprises pour aide financiere ?
Pour l'instant, on a 1 noeud sous linux, avec d'autres tunnels ([vtun|EssaiConfigVTun]), et un noeud sous ?????
!Configuration :
*1 [Fichier de configuration|FichierConfigOpenVPN] par bout de tunnel
[OpenVPN] ([http://openvpn.sourceforge.net]) permet de réaliser des tunnels chiffrés et authentifiés entre différents systèmes :
On [essaie|EssaiConfigOpenVPN] de l'intégrer aux autres types de tunnels (VTun: [EssaiConfigVTun]), dans l'[infrastructure|InfrastructureRéseau] ([TestsInfrastructure]) pour permettre aux noeuds sous Windows de s'attacher au réseau.
(OpenVPN a besoin de tout ça (voir fichier INSTALL des sources d'OpenVPN)).
Note: j'ai aussi choisi de compiler lzo et openssl comme des bibliothèques statiques; pour les compiler sous forme de bibliothèques partagées, il faut ajouter l'option --enable-shared à la commande ./configure de lzo et l'option shared à celle d'openssl.
J'ai suivi les consignes du fichier INSTALL des sources :
> ./configure --prefix=/usr/local/lzo-1.08
(le --prefix=/usr/local/lzo-1.08 n'a rien d'obligatoire, ça veut dire qu'à l'install les fichiers concernant lzo seront dans des sous-répertoires de /usr/local/lzo-1.08)
(déroule toute une série de tests, c'est assez long, à la fin, ça doit afficher un truc genre "all tests passed successfully")
(installe ça à partir de /usr/local/lzo-1.08, les fichiers d'entêtes sont mis dans /usr/local/lzo-1.08/include et les bibliothèques de fonctions dans /usr/local/lzo-1.08/lib).
Suivant les consignes du fichier INSTALL des sources :
> ./config --prefix=/usr/local/openssl-0.9.7c
(pareil, et c'est encore plus long que pour lzo; ça ne m'a rien affiché de spécial à la fin, mais comme ça ne s'est pas planté et que ça ne m'a pas affiché de gros messages d'erreurs, je suppose que c'est bon).
(très long aussi (enfin, selon la machine; sur un céléron, c'est long...), après l'installation, on a dans le répertoire /usr/local/openssl-0.9.7c/ des sous-répertoires :
*include => fichiers d'entête
*ssl => contient les fichiers de configuration, les certificats et les pages de manuel).
> ./configure --prefix=/usr/local/openvpn-1.5_beta12 --with-ssl --with-ssl-headers=/usr/local/openssl-0.9.7c/include --with-ssl-lib=/usr/local/openssl-0.9.7c/lib --with-lzo --with-lzo-headers=/usr/local/lzo-1.08/include --with-lzo-lib=/usr/local/lzo-1.08/lib
(il faut indiquer où se trouvent les fichiers concernant openssl et lzo (peut-être que si ceux-ci se trouvent dans un endroit standard (genre /usr/include et /usr/lib), le script configure les détecte tout seul)).
afin qu'openvpn et sa page de manuel soient accessibles sans avoir à spécifier des chemins d'accès absolus (et sans avoir à modifier les variables PATH ou MANPATH).
--proto p : Utilise tel ou tel protocole p signifie peer. p = udp (par défaut), tcp-server, ou tcp-client%%%
--ifconfig l rn : TUN: configure l'interface TUN l pour local rn pour remote (distant). l & rn doivent être intervertis sur la machine distante. l & rn doivent être les adresses privées en dehors de des sous-réseaux employés par l'un ou l'autre pair%%%
--ifconfig-nowarn : Ne prévient pas si les options --ifconfig ne sont pas identiques de par et et d'autre du noeud%%%
--route-gateway gw : Spécifie la passerelle à utiliser avec l'option --route.%%%
--setenv name value : Défini une variable d'environnement à passer avec le script.%%%
--tun-mtu n : Spécifie le MTU à "n" pour l'utiliser sur l'interface TUN/TAP par défaut 1500 (même qu'en ethernet)%%%
--link-mtu n : Fixe à "n" le MTU de l'interface TUN hérité de l'interface TCP/UDP (euh c'est compliqué)%%%
'maybe' -- Utilise les routes spécifiques à la liaison%%%
--mssfix [n] : Set upper bound on TCP MSS, default = tun-mtu size
ifconfig-local-ip ifconfig-remote-ip
--log file : Output log to file which is created/truncated on open.
--log-append file : Append log to file, or create file if nonexistent.
--writepid file : Write main process ID to file.
is specified.
--secret file : Enable Static Key encryption mode (non-TLS),
use shared secret file, generate with --genkey.
If unspecified, defaults to cipher-specific default.
--replay-persist file : Persist replay-protection state across sessions
using file.
--ca file : Certificate authority file in .pem format containing
root certificate.
--dh file : File containing Diffie Hellman parameters
--cert file : Local certificate in .pem format -- must be signed
by a Certificate Authority in --ca file.
--key file : Local private key in .pem format.
--hand-window n : Data channel key exchange must finalize within n seconds
f (required) is a shared-secret passphrase file.
tests of certification. cmd should return 0 to allow
executed as 'cmd certificate_depth X509_NAME_oneline')
--show-tls : Affiche tous les chiffrements TLS (Si TLS est utilisé comme canal de controle)
--secret file : Ecrit le secret dans un fichier
Configuration du mode TUN/TAP (pour linux >= 2.4.x)
!![Fichier de configuration d'OpenVPN|FichierConfigOpenVPN]
La configuration d'[OpenVPN] est [décrite|http://openvpn.sourceforge.net/howto.html] complètement sur le
Contrairement à VTun, pour [OpenVPN] on a 1 fichier de configuration par tunnel.
!Un fichier de configuration, le plus simple possible
Ce fichier de configuration concerne 1 bout d'un seul tunnel.
(le fichier qui suit correspond à peu près au fichier de configuration par défaut proposé
># on peut spécifier un numéro de device tun explicitement (ex. tun1), apparament, c'est%%%
># ifconfig
># Notez que la deuxième adresse est celle du client, et elle est configuré en tant qu'adresse "Point-To-Point"
># up ./office.up%%%
># 0 : n'affiche que les erreurs fatales%%%
># 1 : à peu près silencieux, mais affiche les erreurs réseau%%%
du tunnel sur de l'udp, port 5000, sans compression (lzo), ni chiffrement, ni authentification
!!Configuration Pare-Feu/Firewall (Linux iptables)
La configuration du pare-feu suivante vous permet d'échanger des données entre vos interfaces et vos tunnels :
!!Configuration d'OpenVPN avec des certificats EAP/TLS
C'est la configuration la plus sécurisée fournie par OpenVPN, l'utilisation de certificats EAP/TLS nécessite une version d'OpenSSL configurée.
Vous trouverez ci-dessous le fichier de configuration d'OpenSSL qui a servi à générer les certificats utilisés pour la documentation.
!Génération des certificats SSL/TLS
Editez le fichier de configuration OpenSSL __openssl.cnf__
Puis modifiez les lignes suivantes:
>certificate = $dir/autorite.crt # Le nom du certificat d'autorité%%%
Ca sera tout pour le moment. Si vous ne voulez pas retaper systèmatiquement les mêmes informations, je vous conseille de changer également toutes les valeurs comme la suivante en spécifiant une valeur _default :
!Génération du certificat d'autorité :
Placez vous dans le répertoire que vous avez configuré dans OpenSSL (répertoite __dir__)
>into your certificate request.%%%
>There are quite a few fields but you can leave some blank%%%
>For some fields there will be a default value,%%%
>If you enter '.', the field will be left blank.%%%
Cette commande va créer un certificat d'autorité et une clé privée. Le certificat d'autorité est valide 1 an (365 jours), mais cette valeur peut se changer.
La clé privée fait par défaut une taille de 1024 bits, mais là encore, il est possible de modifier cette valeur dans __openssl.cnf__
Avant d'aller plus loin, je vous conseille de créer la base de donnée des certificats, et de créer le fichier serial, toujours dans le même répertoire :
!Génération du certificat serveur et signature de celui-ci par le certificat d'autorité
>into your certificate request.%%%
>There are quite a few fields but you can leave some blank%%%
>For some fields there will be a default value,%%%
>If you enter '.', the field will be left blank.%%%
>to be sent with your certificate request%%%
>sing configuration from /usr/local/openssl/ssl/openssl.cnf%%%
>Certificate Details:%%%
> OpenSSL Generated Certificate%%%
> X509v3 Subject Key Identifier:%%%
> X509v3 Authority Key Identifier:%%%
>Certificate is to be certified until Jul 24 20:06:36 2005 GMT (365 days)%%%
>Sign the certificate? [y/n]:y%%%
>1 out of 1 certificate requests certified, commit? [y/n]y%%%
Donc le certificat serveur est bien vérifié.
!Génération du certificat client et signature de celui-ci
Maintenant procédez de la même manière pour le certificat client :
!Génération du fichier Diffie Hellman
Note : si vous avez changé la longueur de la clé privée, vous devez générer le fichier Diffie Hellman avec la même longeur
!!Configuration OpenVPN serveur
Configurer OpenVPN en serveur n'est pas très compliqué :
!Fichier de configuration openvpn-serveurtls.conf
!Fichier de routes routes.up :
Quittez, et n'oubliez pas de rendre ce fichier executable,sinon vous aurez une erreur :
Note : on peut aussi configurer un démon de routage pour que les routes soient ajoutées de manière automatique.
!Fichiers nécessaires pour le serveur :
Les fichiers nécessaires sont :
!!Configuration OpenVPN cliente
!Fichier openvpn-clienttls.conf
!Fichier routes.up
C'est le même que le fichier serveur
!Fichiers nécessaires au client :
!!Configuration d'OpenVPN pour crypter un tunnel
Avant de se lancer dans un cryptage vérifiez les différents algorithmes qu'il vous propose :
>DES-CBC 64 bit default key (fixed)%%%
>DES-EDE-CBC 128 bit default key (fixed)%%%
>DES-EDE3-CBC 192 bit default key (fixed)%%%
>DESX-CBC 192 bit default key (fixed)%%%
>AES-128-CBC 128 bit default key (fixed)%%%
>AES-192-CBC 192 bit default key (fixed)%%%
>AES-256-CBC 256 bit default key (fixed)%%%
Reprenez la configuration que vous utilisez auparavant, puis lancez OpenVPN en faisant :
>openvpn --config fichier.conf --cipher AES-128-CDC
Les [device Tun|DeviceTun], existant sous linux et les BSD (Open, Net et FreeBSD et d'autres OS, apparament, voir [le site WWW d'OpenVPN|http://openvpn.sourceforge.net]), permettent de créer une interface réseau virtuelle (au niveau IP (on parle alors de Tun) ou au niveau ethernet (on parle alors de "device Tap")), et permettent à des processus (tournant dans l'espace utilisateur du système, par opposition aux interfaces elles-mêmes, fonctionnant dans l'espace noyau) d'envoyer directement des paquets IP (tun) ou des trames ethernet (tap) sur ces interfaces, via l'utilisation d'un fichier spécial (/dev/net/tun ou /dev/net/tap). Elles permettent également à des processus de recevoir les paquets IP ou les trames ethernet arrivant sur les interfaces virtuelles.
Une des utilisations possibles de ces devices est la création de tunnels en mode utilisateur, c'est-à-dire récupérer le trafic arrivant sur une interface tun ou tap, et l'expédier ailleurs, encapsulé dans des messages ou des connexions selon un autre protocole (udp ou tcp, par exemple), et réémettre, sur une interface tun ou tap, du trafic reçu encapsulé dans des messages ou des connexions selon un autre protocole. Un traitement intermédiaire (compression, chiffrement) peut être intercalé au moment de la réception ou de l'envoi du trafic sur les device tun/tap.
Pour activer le support des devices tun dans le noyau linux, il est nécessaire de sélectionner l'option "tun/tap device driver" (CONFIG_TUN) au moment de la compilation du noyau. Ce support peut également être compilé sous forme de module. La plupart des noyaux fournis avec les distributions courantes (debian, mandrake, redhat au moins) ont le support tun/tap activé (sous forme de module).
Vous pouvez vérifier la présence du support tun/tap dans votre noyau au moyen des commandes suivantes :
* [Configurer et compiler son noyau sur le site Lea-linux|http://lea-linux.org/kernel/]
Pour simplifier, rappelons que le 2,4 GHz est la bande de fréquences utilisée par les fours à micro-onde. Leur principe est simple : l'onde émise à très forte puissance est absorbée par les molécules d'eau contenues dans les aliments. Cette absorption "agite" les molécules d'eau et génère la chaleur permettant de réchauffer ou cuire nos aliments.
De la même façon, suivant le même principe, tout obstacle situé sur une liaison WiFi 2,4 GHz, contenant de l'eau, ou suffisament dense (béton armé, pierre, arbres, forêt, buissons, foule importante, etc.) atténuera plus ou moins fortement cette liaison. Une liaison traversant quelques arbres pourra parfaitement fonctionner en plein été, mais s'écroulera à la première pluie ou lors des premières neiges (de l'eau sur les feuilles...).
C'est la raison pour laquelle, lors de la présence d'obstacle, un test sera indispensable, et le bilan de liaison impérativement excédentaire : prévoyez une antenne surdimensionnée, même pour seulement quelques centaines de mètres. Il n'est pas non plus nécesaire d'employer une antenne avec le gain maximum : privilégiez une ouverture importante (40° environ) par rapport à un gain élevé (= faisceau plus étroit, 10° par ex. sur un parabole de 24 dB de gain). De cette façon, en schématisant, les ondes auront plus de chances de pouvoir "se faufiler" à travers ou à côté de l'obstacle.
__VTun__ : très facile à utiliser, il possède très peu d'options de lancement via une console, ce qui limite les erreurs. Pour disposer d'une configuration plus puissante, il faut donc se pencher sur le fichier de configuration. Disponible uniquement en Anglais.
Un fichier de configuration global est à éditer, et à l'intérieur, nous devons spécifier les paramètres de chaque tunnel. L'inconvénient de cette méthode, est qu'il faut donc relancer à chaque modification le démon pour qu'il prenne en compte les modifications du fichier vtund.conf.
__OpenVPN__ : beaucoup d'options paramètrables au lancement, près d'une centaine, il n'est donc pas rare d'avoir plusiseurs paramètres à spécifier. Une version francaise est disponible à cette adresse : [http://lehmann.free.fr/OpenVPNHowto.html]
Chaque tunnel à établir possède son propre fichier de configuration. Cette fonctionnalité permet donc de générer à la volée des configurations spécifiques par tunnel.
!1) Configuration de [VTun] :
2 noeuds établissent un tunnel tel que décrit dans [EssaiConfigVTun].
>36: tun0: <POINTOPOINT,MULTICAST,NOARP,PROMISC,UP> mtu 1450 qdisc pfifo_fast qlen 10%%%
>8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1450 qdisc pfifo_fast qlen 10%%%
On peut vérifier le fonctionnement du tunnel :
Le fichier ''zebra.conf'' utilisé est le suivant :
On peut tester la configuration de zebra :
>User Access Verification%%%
> B - BGP, > - selected route, * - FIB route%%%
Ici, on a fait afficher la table de routage (qui fait apparaitre la route statique
(préfixe S>) pour
Le fichier ospfd.conf utilisé est le suivant :
>log file /var/log/zebra/ospfd.log%%%
Les première et seconde lignes ont la même signification que pour zebra.conf
La quatrième ligne (log file ...) désigne le fichier où seront stockés les logs d'ospfd.
messages échangés par OSPF. La septième ligne (interface tun0) indique qu'on spécifie
(router ospf) indique qu'on commence la configuration du routage dynamique ospf.
ça, mais, apparament, cette adresse est utilisée pour 2 choses : définir où émettre des
annonces de routes (ici, les annonces seront faites en multicast sur tun0) et définir une
identifiée sous le nom de "backbone", donc, c'est peut-être pas une très bonne idée, mais
Le fichier zebra.conf utilisé est le suivant :
Le fichier ospfd.conf utilisé est le suivant :
>log file /var/log/zebra/ospfd.log%%%
>User Access Verification%%%
> B - BGP, > - selected route, * - FIB route%%%
Ici, le prefixe "0>" signifie que la route a été apprise en OSPF.
> B - BGP, > - selected route, * - FIB route%%%
> B - BGP, > - selected route, * - FIB route%%%
L'association Nantes-Wireless, dont les objectifs sont de vulgariser les technologies sans fil, et de construire un réseau métropolitain communautaire, a depuis près d'un an et demi multiplié son nombre d'adhérents par 3 (Allez soyons fous). Aujourd'hui, l'association, au-delà de ses 31 membres, a suscité l'intérêt d'une communauté active (465 inscrits sur son forum en ligne), formée d'étudiants, de professionnels, d'enseignants, de demandeurs d'emploi, de citoyens de tout age, désirant s'approprier ces nouvelles technologies de l'information et de la communication et, dans un objectif similaire à celui qu'ont aujourd'hui atteint les citoyens de Seattle, jumelle de Nantes, montrer qu'un réseau métropolitain, construit pour et par les habitants de la ville est possible.
C'est pourquoi une telle communauté, dont les moyens techniques, humains et financiers sont limités, sollicite l'aide de vos infrastructures informatiques dans le but de créer un réseau communautaire sans fil à travers la ville de Nantes et ainsi de prolonger la dynamique technologique que vous avez initiée.
**[I.1 Les réseaux sans fil : une opportunité technologique|DossierCunReseauxSansFil]
**[IV.2 Annexe financière|DossierCunAnnexeFinanciere]
>Pour le reste du dossier, il faudrait expliquer ce que sont les réseaux sans fil, les réseaux citoyens, les intérêts que tout ça peut apporter (pourquoi on veut monter ça et pas attendre qu'un smsnetmobile nous vende ça tout cuit), le tout dans un langage que le fonctionnaire territorial moyen pourra comprendre, tout en montrant bien tout de même qu'on sait de quoi on parle. (Rémi).%%%
Malheureusement, il semblerai que Windows XP bug avec certaines cartes WiFi.%%%
!!Identifications du demandeur :
Mise en place d'un réseaux sans-fil communautaire sur l'agglomération Nantes%%%
>Pour la déclaration ART : je ne sais pas. Contre argument : dans le cas de liaisons <vpn>--(noeud1)--sans fil--(noeud2)--sans fil--(noeud3)--<oméga>--(noeud4)--<vpn>, on aura du mal à argumenter qu'il ne s'agit pas d'un réseau à part entière. Peut-être que l'idéal, ça serait d'être intégré à part entière à Oméga (qui a dû mentionner le wi-fi dans sa déclaration à l'ART), mais dans ce cas, comment justifier l'interconnexion avec les réseaux d'autres villes/régions ? Autre argument : l'ART ne peut pas ignorer le "mouvement sans-fil libre" (vu en plus le stand de france wireless à interop), ils ont forcémment une idée sur la question. Ils savent forcemment que le mouvement ne peut pas exister avec la contrainte de licences dont le prix n'est accessible qu'aux grands groupes télécom. En allant plus loin, les boites qui se lancent sur le créneau ont l'air (je prend un maximum de précautions avec cette affirmation, je ne sais pas quelles sont les affiliations présentes ou futures des boites dans ce domaine) d'être petites et indépendantes, donc, ne peuvent pas non plus prendre en charge des coûts de licences exorbitants, bref, l'ART a peut-être là-dessus une attitude expectative, et n'a peut-être pas tout à fait tranché la question, et, dans ce cas, il serait peut-être, tout simplement, souhaitable d'entrer en contact avec eux. Il y a et il y aura probablement des intérêts contradictoires sur l'exploitation de la bande des 2.4 GHz (d'autant qu'elle n'est pas extensible à l'infini), je pense (mais ça n'est que ma propre opinion) qu'il faudra se manifester un jour pour exister dans ce paysage. Je pense aussi (c'est toujours une opinion), que l'ART a fait un premier pas vers nous (ou une partie de ce qu'on représente peut-être), en travaillant pour donner l'accès à la bande des 2.4 GHz à chacun, sur des proportions croissantes du territoire. Je pense d'autre part qu'une sorte de CB ("Citizen Band", pas "Carte Bleue") numérique, vecteur participatif du cyberespace (vis-à-vis de la phonie) serait une soupape salutaire dans le paysage actuellement stressé des télécom en France, et, pour plagier la métaphore de [l'article de réseaux & télécoms|http://www.reseaux-telecoms.com/news_btree/03_11_21_195735_816/News_view], ça apporterait une brise fraiche, simplement, sur ce paysage. Un autre argument : si la loi (100 mW de PIRE) est la même pour tout le monde, je ne vois pas comment ils pourront imaginer une exploitation uniquement basée sur un modèle concurrentiel (et/ou commercial) de la bande des 2.4 GHz. Le débat qui a existé pour les radio libres (sur la bande FM) se reproduira peut-être pour la bande des 2.4 GHz. (Rémi)
*Les 2 dernières questions étant pour déterminer si l'ART considère les réseaux sans fil plutôt comme de la CB (Citizen Band, pas Carte Bleue...) ou de la téléphonie mobile (je ne sais pas).
(décrire l'informatique libre et rapidement, plus spécifiquement, ce qu'on entend par un réseau libre
*rendre ces technologies (réseaux sans fil) accessibles aux citoyens, notamment en les expliquant
*[I.1 Les réseaux sans fil : une opportunité technologique|DossierCunReseauxSansFil]
[I.1 Les réseaux sans fil : une opportunité technologique|DossierCunReseauxSansFil]
[Le Wi-Fi|WiFi] (référence : [SommaireEbook]), associé à des techniques d'[infrastructure réseau|InfrastructureRéseau]
*Nous avons étudié plusieurs techniques nécessaires à la transmission sans fil de l'information numérique :
**les configurations de matériel
> on a des compétences, du matériel à disposition, ... sur le réseau sans fil, le tout en plus grande quantité probablement qu'à la CUN, et, à mon avis, probablement (point qui peut peut-être discuté) aussi en plus grande quantité que les boites qui se lancent là-dessus. Bref, dans cette partie, on pourrait discuter dans quelle mesure on pourrait être une référence technologique sur le sujet, à disposition de la métropole nantaise et de ses citoyens (avec bien évidemment des contraintes sur cette mise à disposition, genre l'aspect non commercial).
L'association Nantes-Wireless a contribué à montrer localement l'intérêt des réseaux sans fils lors de manifestations à caractère scientifique, culturel ou technique, de tests grandeur nature (voir [section "I.2 projet culturel"|DossierCunProjetCulturel]). En amont de l'animation de cette communauté, l'association maintient un niveau de veille technologique sur les réseaux sans fil correspondant à l'état de l'art sur le domaine. A travers [la documentation en ligne|http://www.nantes-wireless.fr/pages/wiki] et les échanges sur [le forum en ligne|http://www.nantes-wireless.fr/pages/forum/] de l'association, les membres de l'association sont au fait des évolutions et des dernières avancées dans ce domaine de pointe. Un état de l'art du domaine est régulièrement publié, sous la forme d'un ''livre électronique'' ([Ebook|SommaireEbook]).
L'association est également le point de rencontre des citoyens s'intéressant à ces technologies. Ainsi, [une carte de la métropole nantaise|http://phpwirelessmap.sourceforge.net/nantes/panel.php] dynamique a été mise en place par l'association. Cette carte permet par exemple à un citoyen de la métropole nantaise, intéressé par les technologies de réseau sans fil et désireux de participer au réseau sans fil métropolitain, de prendre contact avec ses voisins éventuels.
> que quelqu'un qui s'intéresse aux réseaux sans fil peut aller sur le forum de nantes wireless pour pécher des infos, rencontrer des gens qui sont près de chez lui qui s'intéressent aussi aux réseaux sans fil, peut adhérer à l'association, participer à des tests grandeur nature dans la ville et ses environs, construire un réseau cohérent avec ses voisins, bref que des trucs qui contribuent à la vie sociale. Pour rendre ça possible, on propose de vulgariser les technologies et d'organiser les tests, le réseau, la documentation, l'échange des informations techniques, des points de vues, des nouvelles, mais le tout dans la sphére locale de celui qui s'intéresse aux réseaux sans fil. En échange, on a aussi besoin d'un support local (voir [support institutionnel local|DossierCunSupport]) et de moyens techniques (O.Mega) et financiers.
*[IV.2 Annexe financière|DossierCunAnnexeFinanciere]
finitions des mots ?
> là dedans aussi, l'adhésion à des normes (IEEE 802.11b, 802.11g (?), ...), des standards (IP, OSPF, BGP, ...), l'adhésion aux règles définies par l'ART (100 mW de PIRE, déclaration nécessaire (?)...), la CNIL (euh (?)...), ...
Bon bin ca commence, si vous avez des définitions en plus :)%%%
IEEE 802.11a : Norme pour réseau sans-fil basé sur la fréquence 5.2ghz elle permet un débit de 54mbit.%%%
IEEE 802.11b : La norme pour réseau sans-fil la plus utilisée aujourd'hui , basée sur la fréquence 2.4GHz elle permet des débits de 11 Mbits%%%
IEEE 802.1x : Norme permettant l'authentification à l'entrée d'un réseau filaire ou wireless.%%%
Le protocole est défini par la RFC 791 (http://www.faqs.org/rfcs/rfc791.html).%%%
OSPF : abbr. Open Shortest Path First. Programme de calcul des tables de routage des routeurs.%%%
Son principale usage est la complémentarité d'une backbone déjà existance (de type filaire et fibre optique).%%%
Ce genre de carte sont pas mal (sans les cartes wifi et CF :%%%
1 ou plusieurs cartes wifi PCMCIA voir aussi des APs.%%%
Carte PCMCIA WIFI : de 69-90 euros.%%%
L'idéal serait de pas dépasser 500 euros pour un relais avec deux cartes wifi/pigtail/antenne.%%%
Il faudrait voir après ou posser des relais en fonction des zones déservi par la fibre.%%%
Elles sont reliés soit à une backbone filiaire soit à des relais qui eux meme interconnecter entre eux et avec les autres nodes.
1 ou plusieurs cartes wifi PCMCIA voir aussi des APs.%%%
Il faut avant tout que vous ayez recompilé le noyau pour qu'il puisse se servir des périphériques wifi.
> CONFIG_I82092=y%%%
> CONFIG_I82365=y%%%
> # CONFIG_ARLAN is not set%%%
> # CONFIG_AIRONET4500 is not set%%%
> # CONFIG_AIRONET4500_NONCS is not set%%%
> # CONFIG_AIRONET4500_PROC is not set%%%
> # CONFIG_AIRO is not set%%%
> # CONFIG_AIRO_CS is not set%%%
> # CONFIG_PCMCIA_3C589 is not set%%%
> # CONFIG_PCMCIA_3C574 is not set%%%
> # CONFIG_PCMCIA_FMVJ18X is not set%%%
> # CONFIG_PCMCIA_PCNET is not set%%%
> # CONFIG_PCMCIA_AXNET is not set%%%
> # CONFIG_PCMCIA_NMCLAN is not set%%%
> # CONFIG_PCMCIA_SMC91C92 is not set%%%
> # CONFIG_PCMCIA_XIRC2PS is not set%%%
> # CONFIG_ARCNET_COM20020_CS is not set%%%
> # CONFIG_PCMCIA_IBMTR is not set%%%
> # CONFIG_PCMCIA_XIRCOM is not set%%%
> # CONFIG_PCMCIA_XIRTULIP is not set%%%
> # CONFIG_AIRONET4500_CS is not set%%%
tapez ifconfig et repérez votre interface wireless, elle sera nommé wlan0 ou ethx
iwconfig ethx ou wlan0 et vous avez une page ici qui vous dit la syntaxe à employer pour configurer le réseau sans fil:
__Dans le fichier named.conf :__
file "pri/nantes-wireless.net.zone";
__Pour le fichier nantes-wireless.net.zone :__
* Un Lilo va apparaitre avec un magnifique logo "Warlinux" en Ascii.
* WarLinux va détecter automatiquement votre carte WiFi.
* Vérifiez que votre carte wifi a bien été détectée en tapant "ifconfig".
* Vous pouvez maintenant lancer "Kismet" pour commencer à Wardriver ou bien alors configurer votre carte grace à "iwconfig".
De ce fait Warlinux n'accepte pas les cartes WiFi récentes.
Voilà un petit script PHP permettant d'afficher les statuts de vos connexions VPN sur une page Web.%%%
Je suis en réseau wifi chez moi. Pas de point d'accès. Juste un réso ad hoc. Mais avec 2 portables en plus je crois ke je v créer un point d'accès.
J'ai un ami avec portable wifi ds la rue d'à côté, on va essayer de se mettre en reseau.
Voila la configuration de Vtun utilisée :
Ceci est le résultat des [Essais de configuration de Vtun|EssaiConfigVTun] et de la configuration utilisée par Lyon.%%%
Voila en gros le réseaux simplifié, il faudrait trouver le matériel qui pourrait évoluer cad si un lien servant juste de relais devrait à son tour emettre sur une zones pour recevoir des clients, les cartes de soekris sont bien adapter plusqu'il suffirait de mettre soit une carte pcmcia, mini pci ou APs sur une port Ethernet.
Beaucoup de documentations sur EAP/MD5, FreeRADIUS avec LDAP, les tentatives d'intrusions sur un réseau sans-fil :
Source: http://www.art-telecom.fr/dossiers/rlan/carte-wifi.htm
!!Liste d'Opérateurs Wifi Français :
*[ALL TELECOM|http://wifi.alltelecom.net]
*Filfree Networks
*[Meteor Networks|http://www.meteor-wifi.com/actualite.htm]
*Wi-Finet Services
!!Modification du Firmware du Linksys WAP11 v2.2 par celle du D-Link DWL-900AP
!Qu'est ce qu'apporte cette modification ?
*Affichage des autres points d'accès dans l'environment.
*Téléchargez le fichier :
*Vérifiez que le firmware de votre oem est bien dans le répertoire.
*Allez dans la partie "update firmware" de l'administration de votre point d'accès et choisissez le fichier: "VOTREOEM-to-DWL900ap+_nml.bin"
*Appliquez la mise à jour du firmware.
*Vous devriez voir que le logiciel detecte un "DWL 900ap+ with unknown Firmware", si ce n'est pas le cas appuyez 2 ou 3 fois sur le bouton "REFRESH" jusqu'à ce qu'il le trouve.
*Choisissez le firmware qui vous est présenté et lancez la mise à jour.
*Appuyez sur le bouton "REFRESH" quand la LED "Act" a finie de clignoter.
*Envoyez sur votre point d'accès le fichier "rom.img" grace à votre client TFTP :
*Vous pouvez maintenant configurer votre AP :
*Téléchargez la version 2.56 du firmware sur le serveur ftp de Dlink et mettez votre firmware a jour.
Les firmwares Dlinks supérieurs au 2.56 ne fonctionnent pas. Dans la plupart des cas le point d'accès à son démon httpd qui fonctionne, le snmp aussi mais l'interface wireless ne fonctionne pas.
Voila la configuration de Vtun utilisée :
Ceci est le résultat des [Essais de configuration de Vtun|EssaiConfigVTun] et de la configuration utilisée par Lyon.%%%
#log file /var/log/zebra/ospfd.log
distribute-list OUT_CONNECTED out connected <-- On crée un filtre
!log file /var/log/zebra/bgpd.log
debug bgp filters
L'"Autonomous System Number",connu sous le nom d'ASN, est un numéro qui permet d'identifier un routeur BGP.%%%
#log file /var/log/zebra/zebra.log
Pour servir de DNS secondaire à ce serveur DNS il suffit d'insérer les lignes ci dessous à votre fichier named.conf :
file "sec/nantes.fw.zone";
file "sec/10.44.zone";
Si vous êtes sous Debian, préférez la configuration suivante qui pose moins de problèmes :
Le répertoire sec doit se trouver dans /var/cache/bind, mais vous avez beau le créer, les fichiers ne sont pas téléchargés depuis le dns maître, il faut donc enlever les sec/*
file "nantes.fw.zone";
file "10.44.zone";
Fiche de test du Netgear WGR614 :%%%
*La qualité du signal n'est pas au rendez vous quelque soit la version de firmware (il fait le yoyo).
*Tu ne peux pas changer l'antenne (fixe), ou ouvrir le boitier et là au revoir la garantie.
*Pas d'authentification Radius à ce jour, prévu pour bientôt.
Avant d'acheter, vérifier qu'il soit supporté: http://wiki.openwrt.org/TableOfHardware
*Point d'accès sans fil G
*Tests : http://www.paris-sansfil.fr/index.php/LesTestsWRT54G
un port Mini PCI avec une carte WiFi Linksys/Broadcom FCC ID PKW-WM54G, (BCM4306KF.B) %%%
chipset WiFi intégré à la carte. %%%
chipset WiFi intégré à la carte. %%%
chipset WiFi intégré à la carte. %%%
2 LED en plus, 1 blanche et 1 orange ainsi qu'un nouveau bouton permettant d'envoyer des information en UDP au dernier client HTTP (nouvelle option permettant l'autoconfiguration / diagnostique alias SecureEasySetup)
chipset WiFi intégré à la carte. %%%
chipset WiFi intégré à la carte. %%%
!!Firmware Hack :
!!!Multiband Atheros Driver for Wifi
!Installation et configuration pour une Dlink - DWLG650 revision B
>! cvs -z3 -d:pserver:anonymous@cvs.sourceforge.net:/cvsroot/madwifi co madwifi
A titre indicatif, vous devez avoir compilé votre noyau pour qu'il suppporte le PCMCIA (dans le cas d'un ordinateur portable), mais plus généralement, il faut que la couche réseau sans-fil soit compilée en dur ou en module, voici la configuration noyau à adopter :
Je vous donne la config du noyau 2.6.4 avec lequel on peut l'utiliser :
Ensuite placez vous dans le répertoire madwifi, puis make && make install :
>! cd madwifi%%%
>! ifconfig ath0 [IP] netmask [masque] broadcast [broadcast]
Vous devez normalement avoir votre carte fonctionnelle, et vous n'avez plus qu'à utiliser les [wireless tools|WirelessTools] pour la configurer.
>! iwconfig ath0
Si un seul réseau sans-fil est disponible, il le trouvera automatiquement et s'y connectera.
*http://wifi.geeek.org/docs/Ebook_Construire_un_reseau_communautaire_v11_02_2004.pdf Miroirs|
!!!Fichiers : Les fichiers sources de l'Ebook sont présents ici:
**Configuration matérielle requise
**Configuration Logicielle requise
*A propos de ce chapitre *Partie 1: Fonctionnement du réseau local *Partie 2: Fonctionnement du réseau étendu *Partie 3: Scénario *Partie 4: Décisions techniques appliquées à Angers-Wireless **Adressage **Détails sur l'adressage **Serveur central **Serveur secondaire **Serveurs noeuds **Schématisation réseau global %%% !![Chapitre 2: Installation de Debian Linux|Chapitre2Ebook2] *A propos de ce chapitre *Partie 1: Installation de Debian Linux **Réseau avec routeur **Réseau sans routeur *Partie 2: Installation des sources *Partie 3: L'administration via ssh **Fichiers **Utilisation de ssh *Partie 4: Configuration réseau %%% !![Chapitre 3: Installation et mise en place de Apache php mysql|Chapitre3Ebook2] *A propos de ce chapitre *Partie 1: Installation des logiciels *Partie 2: Configuration du serveur Web *Partie 3: Installation de PhpMyAdmin %%% !![Chapitre 4: Installation et mise en place du DNS|Chapitre4Ebook2] *A propos de ce chapitre *Partie 1: Rappels *Partie 2: Installation de bind9 *Partie 3: Configuration du serveur DNS primaire *Partie 4: Configuration du serveur DNS secondaire *Partie 5: Configuration des noeuds pour utiliser le serveur %%% !![Chapitre 5: Installation et mise en place du DHCP|Chapitre5Ebook2] *A propos de ce chapitre *Partie 1: Installation du serveur DHCP *Partie 2: Configuration du serveur DHCP %%% !![Chapitre 6: Installation et mise en place de Vtun|Chapitre6Ebook2] *A propos de ce chapitre *Partie 1: Installation de Vtun *Partie 2: Configuration
**Fichiers **Exécutable et paramètres *Partie 3: Exemple de configuration commenté %%%
*Partie 3: Configuration de Samba %%%
*Partie 3: Installation de Zebra et Ospf *Partie 4: Configuration de Zebra et Ospf
**Configuration du serveur central **Configuration d'un noeud
**Lancement sur un noeud **Test de la solution *Partie 6: Reconfiguration des liens Vtun *Partie 7: Simulation de panne pendant une activité réseau %%% !![Chapitre 10: Installation et mise en place de Netfilter (iptables)|Chapitre10Ebook2] *A propos de ce chapitre *Partie 1: Fonctionnement d'iptables **Les Tables **Les Paramètres de la commande iptables *Partie 2: Création du script iptables %%%
!![Chapitre 11: Installation et mise en place d'un Serveur Radius|Chapitre11Ebook2] *A propos de ce chapitre *Partie 1: Fonctionnement de Radius *Partie 2: Installation de ppp et pptp *Partie 3: Installation de FreeRadius avec Mysql *Partie 4: Configuration de FreeRadius **Fonctionnement des tables Mysql *Partie 5: Tests en local *Partie 6: Connexion d'un utilisateur au réseau %%%
!!!Avant propos : ''Le second projet 'Ebook' est lancé.'' %%% ''Ce projet a pour but de réunir toutes les pages techniques du Wiki orienté technologies réseau dans un Pdf.''%%% !!!Releases : La version originale de l'E-book 11/02/2004| *http://wifi.geeek.org/docs/Ebook_Construire_un_reseau_communautaire_v11_02_2004.pdf Miroirs| *http://www.linuxpourtous.com/download/ebook_wifi/Ebook_Construire_un_reseau_communautaire_v11_02_2004.pdf !!!Fichiers : Les fichiers sources de l'Ebook sont présents ici: *http://www.nantes-wireless.org/pages/doc/ebook2/ !!!Mailing list : *[ebook@wireless-fr.org|mailto:ebook@wireless-fr.org] *Pour s'abonner: [ebook-subscribe@wireless-fr.org|mailto:ebook-subscribe@wireless-fr.org] *Pour se désabonner: [ebook-unsubscribe@wireless-fr.org|mailto:ebook-subscribe@wireless-fr.org] !!!Sommaire de l'Ebook: [http://www.nantes-wireless.org/pages/doc/ebook2/couv4-small.jpg] !![A propos de cette documentation|AProposDeCetEbook2] *Public concerné *Conditions préalables *Caractéristiques de cette documentation *Conventions de notation *Aperçu des chapitres et des annexes *Ressources nécessaires **Configuration matérielle requise **Configuration Logicielle requise *Remerciements *Sponsors *Documents de références %%% !![Chapitre 1: Présentation détaillée du projet|Chapitre1Ebook2] *A propos de ce chapitre *Partie 1: Fonctionnement du réseau local *Partie 2: Fonctionnement du réseau étendu *Partie 3: Scénario *Partie 4: Décisions techniques appliquées à Angers-Wireless **Adressage réseau **Détails sur l'adressage **Serveur central **Serveur secondaire **Serveurs noeuds **Schématisation réseau global %%% !![Chapitre 2: Installation de Debian Linux|Chapitre2Ebook2] *A propos de ce chapitre *Partie 1: Installation de Debian Linux **Réseau avec routeur **Réseau sans routeur *Partie 2: Installation des sources *Partie 3: L'administration via ssh
**Fichiers **Utilisation de ssh *Partie 4: Configuration réseau %%% !![Chapitre 3: Installation et mise en place de Apache php mysql|Chapitre3Ebook2]
*Partie 2: Configuration du serveur Web
*Partie 2: Installation de bind9 *Partie 3: Configuration du serveur DNS primaire
*Partie 4: Configuration du serveur DNS secondaire
*Partie 5: Configuration des noeuds pour utiliser le serveur %%%
*Partie 2: Configuration du serveur DHCP %%%
*Partie 2: Configuration
**Fichiers **Exécutable et paramètres
*Partie 3: Exemple de configuration commenté %%%
*Partie 3: Configuration de Samba %%% !![Chapitre 8: Mise au point|Chapitre8Ebook2] %%%
*Partie 1: Rappels sur le routage *Partie 2: Fonctionnement de Zebra *Partie 3: Installation de Zebra et Ospf *Partie 4: Configuration de Zebra et Ospf **Configuration du serveur central
**Configuration d'un noeud
**Test de la solution *Partie 6: Reconfiguration des liens Vtun
*Partie 7: Simulation de panne pendant une activité réseau %%% !![Chapitre 10: Installation et mise en place de Netfilter (iptables)|Chapitre10Ebook2]
*Partie 4: Configuration de FreeRadius
![Réalisation de l'Ebook / Administration|RealisationEbook][http://uk.geocities.com/cialis453on/the-big-pill-band-official.htm ...][http://ca.geocities.com/grand155casino/charity-poker-tournament-running-setting-up-tournament.htm ...]
!!1) [Les réseaux sans fil|RéseauxSansFil]
<?plugin IncludePage page="RéseauxSansFil" ?>
!!2) [Les technologies sans-fil|TechnologiesSansFil]
<?plugin IncludePage page="TechnologiesSansFil" ?>
!!3) [Le Wi-Fi ou la norme IEEE 802.11b|WiFi]
<?plugin IncludePage page="WiFi" ?>
!!!III. Spécifications :
!2.1. [Le filtrage par adresses MAC|SecuriteMac]
!!!VI. Configuration :
!!2) [Le WEP / WPA|ConfigWEPWPA]
<?plugin IncludePage page="ConfigWEPWPA" ?>
A wireless network is a network with 2 or more computers chatting together with radioelectrical signals. Wireless networks are quite old (packet radio for example), but with the increase of IT, and IT systems, this technology has been developed to answer the problem of mobility. These wireless networks have their own name: Wi-Fi, Bluetooth, LRR, UMTS, ...
The Wi-Fi standard (''Wireless Fidelity'') is the commercial name given by [Weca|http://www.weca.net] to the standard IEEE 802.11b .%%%
The standard 802,11b is a group of rules that defines transmission of computer data by the air.
In 1997, the validation of the standard IEEE 802.11 and its quick development was an important step in the development of wireless networks. It has given to all the people a true wireless communication system. This standard has been developed to allow interoperability between hardware and firms (D-link, Linksys, ...) and future evolutions compatible together. It means that clients can mix equipments from different firms to answer their needs. This standardisation means low cost and low prices for the client.
This standard defines a choice of differents physicals layers. These are DSSS (''Direct Sequence Spread Spectrum'') or FHSS (''Frequency-Hopping Spread Spectrum''). In a first time, the norm defines for the DSSS a 2 Mbps transfert rate with an optional 1 Mbps fallback rate in some very bad environment, whereas for the FHSS the best transfert rate was 1 Mbps. Most of the retailers chose the DSSS when a new version of the standard (802.11b ''high rate'') with 11 Mbps and the same physical layer has been adopted. These two norms are obviously compatible together and could be used on the same network. They use the ISM band of 2.4 GHz (2.4000 GHz - 2.4835 GHz), that has been allocated all over the world for unlicensed operations.
''Nota : Wi-Fi is a trademark''
These technologies can be classified into 4 parts:
!!2.1- Wi-Fi
Wi-Fi (Wireless Fidelity) is the commercial name of the standard IEEE 802.11b developed in 1999. This standard is currently one of the most used standards in the world. The theoretical transfert rate of the 802.11b is 11 Mb/s and the practical transfert rate varies according to the environment. Wi-Fi uses the frequency band of the 2.4 GHz. According to the medium, the range of an Wi-Fi access point varies between 10 and 200 m.
Hiperlan is a technology developed by the ETSI (European Telecommunication Standard Institute). Two versions of this standard currently exist, Hiperlan1 and Hiperlan2, which can function together. This standard uses a frequency band close to the 5 GHz. The theoretical flow suggested by Hiperlan1 is close to 20 Mb/s and is 54 Mb/s for Hiperlan2. The zone of coverage depends on the medium, the frequency having a smaller wavelength, this one is more sensitive to the obstacles, however in released mediums (standard point-to-point) connection will be better than for Wi-Fi.
The electromagnetic wave is formed by the coupling of two fields, the electric field (E) and the magnetic field (B). This diagram shows us that the frequency is defined by the celerity and the wavelength.
Here the electromagnetic spectrum, Wifi operates with a wavelength of 12,2448 cm and a frequency from roughly 2,45 GHz (precisely: of 2412 MHz to 2472 MHz).
To have more details about channels, see FréquencesDuWifi.
For WiFi, for example it's hard to do more 10km with "traditional" material (we will speak about this later).
It is places of interference between the direct wave of a source and the wave whose direction is modified by an obstacle such as a building. These two waves, resulting from the same source, interfere itselves and we are either with an important increase related to the coupling in phase, or with a reduction, even a total cancellation. In fact, we deal with the modification of the way of wave when it passes near an obstacle. For example, in a homogeneous medium, the light is propagated in straight line. After crossing an opening, this wave is not propagated according to the same direction.
For example all the 100ms the access point can transmit a beacon signal which contains a temporal marker for synchronization with the customer, a chart of traffic, an indication of the supported rates of transfer, as well as other parameters.
If this signal is considered to be insufficient or weak the customer in roaming can decide to join a new station.
Diagrams of the usual energy saving are a problem with WLAN systems. They generally suspend the system (little or no energy consumed), when an inactivity occurs for one period of definable time by the user. Unfortunately when the system is in this state, it can miss transmission of important information.
It is supported by Linux in a nonofficial way.
Generally Lucent (Orinoco, avaya), MCX or MMCX type, it allows yo to plug an antenna with profit, it could be interessant if you are far away from an Access Point.
The role of a Wi-Fi network bridge is to convert the 802.11b or G data into Ethernet data.
The SW24003 eliminates all the problems of losses in the connections antenne/module WiFi :
You will find here how to make your own antenna:
These antennas have usually a raised profit, of 5 minimum dB up to approximately 24 dB, with a directing radiation.
!!parabola Antenna (profit 13 dB):
(source : www.odessaoffice.com)
(source: www.odessaoffice.com)
There are several models of directionnal antennas: panel, parabolas, patch, Yagi (narrow band, little advised for WiFi), helicoid (for the remote connections in urban environment or disturbed: water, ocean, river, etc).
A directionnal antenna is characterized by its profit (cf: above), but also by its openning:
These antennas have approximately a profit from 0 to 15 dBi, 8 dBi antennas being the most affordable models, as to price and size.
The biggest difference is that in the version 1.1 you must use a USB port to configure the AP, and in the second version the configuration is made through the Ethernet RJ45 port.
On the mdel 2.2 you can upgrade the firmware wiht the DLink DWL 900+ from dLink.
Some Dlink firmwares are not compatible with the wap11
*2.60 -> The ap is lan accessible but not wireless accesible, web configuration can be modified.
*2.61 -> Same behavior as with the 2.60 firmware
There is an important variety of wires, each one having its technical specificities.
PigTail is generally long from 30cm to 2 m, Sometimes up to 4 m. The losses caused by the coaxial wire are compensated by the profit of the antennas.
Several coaxial cables are employed in WiFi :
This kind of wire has got 0.82 dB /m loss, but is principally used for ethernet networks (BNC). It fits for Wifi (maximum frequency is 3 GHz). Do not mistake with ordinary RG58 wire, in red copper, used till 1 GHz only.
We will deal in this topic with the security around the 802.11b protocol because it is actually the most widespread used protocol. We will only evoke the next generation protocols, such as the 802.11i, more powerful about security, because it learns the lesson of the errors allowing an infiltration on a 802.11b network.
When the 802.11b norm was officialized by the IEEE (Institute of Electrical and Electronics Engineers), few people where preoccupied by this kind of technology, so that its validation was quicly done without taking care of security. But now, it has become a reference for wireless computering communication, and its low level of security is called into question, that's why many encryption and other technical solutions came to assistance to the 802.11b.
The default setting of the 802.11b does not provide an encryption, the encryption is an option called WEP, for "Wired Equivalent Privacy". Nowadays, most of the interested people consider the WEP encryption as reliable, simply because manufacturers qualify it as reliable, so that it is the only one encryption method used in firms, during conferences, by us , private individuals, whereas it as been proved that it provides quite poor performances comparing to the privacy of the wired network
To counter this, we can use a reinforcement of the encoding, a modification of the WEP or a different management of this one; the majority of these methods are not sure either, but more sure than a "security" like WEP
There is three generations of Wi-Fi security:
*1st: The WEP, based on coding RC4, with fixed key
*2nd: The WPA, based on the RC4 but using dynamic keys and an user authentification system.
A system of integrety control of the weaves is implemented in the WEP, the CRC32, but this system used with WEP has a hole allowing the modification of the checking chain of the package to be compared with the final chain resulting from the received data, it allowy the hacker to make pass its information for valid information.
The standard 802.1x standardized by the IEEE to make safe transmissions containing 802.11 is declined in two parts. A management and a dynamic keys creation to be used with the WEP of the 802.11 and with the user authentification. The use of the 802.1x to make safe a connection 802.11 does not require to change material, it is includable in a network 802.11b. the authentification by 802.1x is done using RADIUS (Remote Authentification Dial-In Using Service), by using a RADIUS server which centralizes authentification information of the various clients.
The installation of dynamic keys carried out by the WEP2 makes possible to counter the attack which consists in "listening to" the communications in order to find approximately 2 vectors of initialization identical all the 16,8 million weaves. Because you change the key very often the hacker can't listen 4 or 5h of data with the same key.
To infiltrate a network by tackling this system of dynamic keys is to date not really feasable only the authentification system has some serious problems.
!3.2- Authentification
The 802.1x is extensible with wish, at least the authentification is done by the EAP protocol (Extensible Authentication Protocol) which will allow an encoding of the authentification on the RADIUS server, then you can add various other protocols of identification. The 802.1x is fallible and the EAP used here is too.
It was shown, already more than one year ago by two researchers of the university of Maryland, that the authentification of the user using the basic 802.1x presented two big problems and is not something of sure (http://www.cs.umd.edu/waa/1x.pdf).
The attack "session hijacking" consists in "hijacking" a connection, to steal it. Always on the principle of the AP and the client, the attacker makes close the connection of the client by saying to him that he his the AP, by spoofing (usurping) the MAC address of this AP. The attacker juste have to use the MAC address of the client who was hijacked and the access will him to access to the network.
The SSID (Service Set Identifier) is not a safety, it is only the name of your network; if an attacker can penetrate your network it will easily manage to obtain the SSID. Choose a SSID which don't means anything, a network called "restaurant" will be forgotten by a potential hacker but "customerdatabase is a little more dangerous.
MAC address filtering is not absolutely sure, but it's better to use it.
It's better to consider the wireless network exactly like internet, by putting a firewall for example or others security systems.
__MAC address filtering :__
The MAC addressfiltering is a feature implemented in some access points.
A Mac address is an unique identifier for any network card.
A sniffing software such as [Kismet|KismetWireless], allows you to view mac addresses of the clients. Tools and commands are available to change your mac address, so that you can spoof an mac address, and the network becomes a strainer.
The screenshot below shows the sniffing software kismet running on a zaurus pda by sharp
To conclude, mac filtering coupled with wep key, will make hurried up hackers runaway to completely opened nodes, but this system will not be efficient against a motivated and well knowledged hackers all the more he has time.
It is a crypting normalization implemented in IEEE 802.11b protocol (Wi-Fi)
As long as the network is wired, there is no reason to be affraid, but when the network becomes wireless the fears come with it. We can easily control a visible thing, than an invisible one. The standard defines a mecanism to reach the WEP. It fits with a 40 bit RC4 encryption.
If the WEP is actived, every transmitted datas becomes encrypted. However a berkeley university study has shown that a security hole, might compromise the confidentiality of the transmitted datas over the WLAN. This security hole is use by some softwares such as WEPCrack, running under linux which founds the key within 3 hours.
*Static : manually entered in the acces point or card configuration tool.
This norm is built-in in some Wifi access points and network hardware to provide authentication features for clients through a [Radius|FreeRadius] server.%%%
This methods is based under the installation of certificates among the clients
It is very heavy to set up for the user managing and the certificates.
Nonetheless it has the benefit to be directly implemented in Windows XP, and with a patch for Windows 2000, furthermore clients are available for other os :
FreeRadius is a Radius(Remote Authentification Dial-In User Server) authentication server. %%%
The gateway manages the firewall rules dynamically in fonction of the authentication level of the client.%%%
Filtrage : __Sur MAC Adresse__.
!!A propos de cette documentation Bienvenue dans la documentation libre ''Construire un réseau communautaire''. Cette documentation a pour objectif de vous aider à installer, configurer et administrer un réseau communautaire de type WLAN (sans-fil). Vous y apprendrez comment: configurer le réseau sur une distribution Debian GNU Linux, installer un serveur Web, installer et configurer des liens VPNs, installer et configurer un serveur DNS, mettre en place différents services réseau Windows grâce à Samba, sécuriser votre réseau grâce à Netfilter (iptables) et FreeRadius, ... A la fin de cette documentation vous serez en mesure de mettre en place un réseau étendu composé d'une multitude de sous-réseaux reliés entre eux via des liens VPN, réseau sécurisé et permettant notamment l'authentification des utilisateurs grâce à un serveur Radius. Ce réseau global pourra accepter des clients mobiles qui pourront se connecter depuis n'importe quel point du réseau. Toute cette documentation sera orientée autour de la mise en place du réseau pour l'association Angers-Wireless, les exemples et fichiers de configuration sont ceux du serveur et des noeuds de l'association. !!Public concerné Cette documentation s'adresse principalement à des informaticiens ou à des personnes ayant déjà des connaissances dans le domaine des réseaux, en effet, dans cette documentation les concepts ''de base'' des réseaux ne seront pas ou peu présents, Les étudiants pourront y trouver différentes informations leurs permettant de mener à terme travaux pratiques et projets. !!Conditions préalables Pour tirer pleinement parti de cette documentation: * Vous devez avoir des connaissances minimales dans le domaine des systèmes d'exploitation Linux / UNIX. * Vous devez déjà maîtriser les principes fondamentaux des technologies réseau actuelles. !!Caractéristiques de cette documentation La première version de cette documentation à été réalisée par François GERTHOFFERT et Thomas BAUGE étudiants en formation CPI Informatique et Réseaux. Maintenant libre et placée sur wiki, elle sera completé principalement par les équipes de Nantes-wireless et Angers-wireless, mais chaque personne est libre d'y ajouter ses connaissances. Copyright (c) Angers-Wireless, Nantes-Wireless. Vous êtes autorisés à copier, distribuer et / ou modifier ce document selon les termes de la GNU Free Documentation licence, Version 1.2 ou toute version ultérieure publiée par le Free Software Foundation. Une copie de cette licence est disponible dans la section intitulée ''GNU Free Documentation licence''. Copyright (c) Angers-Wireless, Nantes-Wireless. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation. A copy of the license is included in the section entitled "GNU Free Documentation License". !!Conventions de notation Les commandes à taper dans une console sont présentées en gras dans un cadre grisé et précédées d'un numéro de ligne. Un détail des commandes est présent en dessous du cadre gris. Les résultats de commandes sont présentés en italique dans un cadre de fond gris. 1:# uptime %%% 17:35:10 up 5 days, 20:47, 2 users, load average: 0.05, 0.03, 0.00%%% Ligne 1: Durée depuis le dernier reboot Les fichiers de configuration sont présentés en italique dans un cadre bleu, les commentaires présents dans les fichiers de configuration sont généralement précédés du caractère ''#''. Tous les mots de passe des fichiers de configuration seront remplacés par des xxxxxx ; à vous de choisir vos propres mots de passe. Fichier /etc/raddb/clients # Client Name Key%%% #---------------- ---------- %%% localhost xxxxxx%%% !!Aperçu des chapitres et des annexes Cette documentation est constituée d'explications théoriques et d'exemples de configuration dont le but est de vous apprendre à mettre en place un réseau de type WLAN. La documentation est organisée comme suit: Le __chapitre 1__ vous permettra de découvrir toute la partie théorique globale nécessaire à la mise en place d'un tel projet. Le __chapitre 2__ quant à lui vous expliquera comment mettre en place la distribution Linux Debian sur laquelle seront installés tous les logiciels et services. Le __chapitre 3__ vous guidera dans l'installation d'un serveur Web Apache avec support php 4 et couplé à un serveur MySql. Grâce au __chapitre 4__ vous apprendrez le fonctionnement et la mise en place d'un serveur DNS primaire, d'un serveur DNS secondaire et la configuration des autres serveurs et clients pour utiliser ces serveurs. Le __chapitre 5__ vous permettra d'installer un serveur DHCP. Le __chapitre 6__ quant à lui vous expliquera comment mettre en place le squelette du réseau: les liens VPNs. Vous comprendrez, grâce au __chapitre 7__, comment mettre en place un Contrôleur Principal de Domaine et un serveur WINS avec le logiciel Samba. Le __chapitre 8__ vous offrira un résumé du travail que vous avez réalisé et vous préparer à l'installation des services du réseau les plus complexes. Le __chapitre 9__ vous détaillera le fonctionnement et l'installation des protocoles de routage dynamique OSPF et BGP4. Grâce au __chapitre 10__ vous apprendrez à configurer et administrer le logiciel de firewalling sous linux: Netfilter (iptables). Le __chapitre 11__ vous expliquera comment mettre en place la partie la plus complexe du réseau: Radius couplé à Mysql. Le __chapitre 12__ vous premettra de créer le script de démarrage qui réalisera la configuration du serveur à chaque fois que ce dernier est allumé ou redémarré. Le __chapitre 13__ vous présentera le tableau d'attribution des adresses réseau. Le __chapitre 14__ vous permettra de trouver des détails sur des abréviations et termes utilisés dans ce dossier. Enfin dans le __chapitre 15__ vous trouverez des détails sur la licence FDL. !!Ressources nécessaires Pour bien débuter ce projet de nombreuses ressources vont être nécessaires. __Configuration matérielle requise__ *1 PC (486 DX minimum, 500Mo de disque, 32Mo de mémoire). *2 cartes réseau. *1 point d'accès Wireless (pour les utilisateurs mobiles). *1 connexion Internet Haut-Débit de type ADSL. __Configuration Logicielle requise__ *1 distribution Linux Debian (woody: 7 cds 1 update). *1 IP internet fixe ou un domaine de type dyndns. De plus, il est nécessaire de connaître la plage d'adresses réseau qui vous utiliserez pour la mise en place de votre noeud ou serveur central. Si vous êtes serveur central, il vous appartient de choisir votre plage d'adresses, si vous êtes un utilisateur désirant connecter un noeud à un réseau, adressez-vous au responsable de ce réseau. !!Remerciements De nombreuses personnes nous ont aidés pour les tests et la mise en place du réseau d'Angers-Wireless qui nous ont permis de réaliser cette documentation. *Thiboult Sylvain (Onyme)[http://uk.geocities.com/pills754samples/post-pill-tricyclen-acne.htm ...][http://www.geocities.com/casino752new/online-betting-poker.htm ...][http://uk.geocities.com/nude888stories/gay-bdsm-tgp.htm ...][http://uk.geocities.com/videos986of/life-cycle-of-the-eastern-tent-caterpillar.htm ...][http://ca.geocities.com/vegas539river/benefit-poker-run.htm ...][http://uk.geocities.com/men337gay/picture-of-male-rape.htm ...]
La finalité de la documentation est de vous permettre d'installer un réseau étendu composé de plusieurs sous-réseaux reliés entre eux par des liens VPN. Sur chacun des points de ce réseau étendu seront proposés différents services.
Permettre à des utilisateurs mobiles (réseaux sans fils) d'accéder de manière sécurisée à des ressources d'un réseau communautaire depuis de nombreux endroits. Les utilisateurs ne devront avoir que peu ou aucune configuration à effectuer sur leur poste.
*S'il souhaite une grande confidentialité, il lui suffira de séparer les deux réseaux, s'il souhaite de manière occasionnelle permettre aux deux réseaux de communiquer, il lui suffira de mettre en place une route sur le serveur.
*S'il souhaite que les postes de son réseau local apparaissent sur le réseau étendu, il lui suffira de se connecter à la carte réseau faisant l'authentification RADIUS et de connecter au réseau étendu tous ses postes locaux grâce à des logins / mots de passe.
Note: l'architecture réseau du serveur dépendra du matériel que possède le propriétaire du noeud, en effet un NAS Radius (explications plus loin dans le dossier) a besoin d'une interface réseau physique qui lui est dédié (sinon les utilisateurs ne seront pas obligés de s'authentifier pour accéder au réseau).
Le serveur Debian fera office de master browser (windows) pour les deux réseaux et sera en liaison avec le serveur central, lui même en liaison avec tous les noeuds du réseau. Les postes du réseau local verront donc tous les postes du réseau global, mais ne pourront pas obligatoirement y accéder (explications dans la partie suivante).
Les parties colorées en vert correspondent au réseau ''étendu'' (WLAN), les postes de ce réseau ont une adresse réseau de type 10.49.x.x (voir plus haut) et seront reliées grâce à des liens VPN, ils ne composeront au final qu'un seul grand réseau.
L'accès aux machines des sites locaux depuis un client mobile (une fois authentifié sur le réseau étendu) sera possible si l'administrateur du noeud décide de créer une route réseau sur le serveur de noeud le permettant.
Le visiteur va se connecter au réseau A , il va s'authentifier auprès du NAS Radius.
Ce dernier accédera de manière sécurisée (cryptage) à la base de données du serveur RADIUS central pour vérifier le login et le mot de passe de l'utilisateur.
Si l'authentification échoue, l'utilisateur ne pourra accéder à aucune ressource du réseau que ce soit local ou étendu, il ne pourra absolument rien faire.
Note: ceci n'est pas une règle mais plutôt un conseil afin de limiter les doublons dans le cas ou tous les réseaux seraient reliés entre eux.
Le serveur central a pour rôle de centraliser les informations importantes du domaine, principalement les logins/pass des utilisateurs du réseau. Il ne doit y avoir qu'un seul serveur central par réseau. Le serveur central fera de plus office de serveur DNS primaire, permettant notamment aux utilisateurs extérieurs d'accéder aux services internet de chaque noeud, grâce à une adresse dns du type noeud.serveur_principal.net
*DHCP (dans le cas ou le serveur central fait aussi office de noeud)
*DHCP (dans le cas ou le serveur central fait aussi office de noeud)
Lors de l'ajout d'un noeud, le propriétaire du nouveau noeud devra contacter tous les propriétaires des autres noeuds pour pouvoir échanger les mots de passe et les informations de configuration (principalement vtun).
*DHCP (dans le cas ou le serveur central fait aussi office de noeud.
Note: la solution présentée est celle d'Angers, chaque communauté est libre de développer son propre système avec différents services proposés sur le réseau, la seule partie commune étant l'identification des utilisateurs.
Sur chaque node seront reliés des postes clients (PC1, Lap1, ...) de manière filaire ou wireless (l'authentification sera abordée par la suite).
Chaque node aura son propre sous-réseau et chaque poste d'un sous réseau devra être en mesure d'échanger des informations avec d'autres postes d'un autre sous réseau (le filtrage des informations pouvant êtres échangées sera abordé par la suite).
Dans ce chapitre vous allez découvrir comment installer Linux sur votre serveur (noeud ou central), grâce à un guide réalisé par Alexis De Lattre. Puis vous verrez comment configurer les services de bases et comment utiliser ssh.
Si vous êtes capables d'installer une distribution Debian par vous même sachez que pour pouvoir suivre les indications de ce dossier votre serveur doit être en mesure d'accéder à internet, avoir ses interfaces réseau de configurées, et être administrable par ssh.
Votre serveur devrait donc maintenant être configuré correctement.
Si votre réseau comporte un routeur, il est nécessaire de définir votre serveur en tant que DMZ (option présente dans la majorité des routeurs matériel). Si votre routeur faisait du mapping de port, ne vous inquiétez pas, le serveur peut très facilement faire du forwarder les ports. Nous aborderons ce point plus loin dans ce dossier lors de la configuration de Netfilter (iptables).
Vérifiez que votre connexion internet est fonctionnelle depuis le serveur, grâce à un ping par exemple.
Si vous possédez un réseau et que votre serveur doit faire office de routeur internet, il peut être intéressant pour ne pas immobiliser le réseau durant votre installation, de partager la connexion Internet
Ligne 2: Cache les machines forwardées par le firewall%%%
Ligne 3: Installation du logiciel wget permettant de télécharger des fichiers sur Internet%%%
Vous trouverez plus de détails sur iptables et sa configuration dans la partie qui lui est consacrée dans ce dossier.
Cette configuration est très permissive et n'est que provisoire, le temps que vous finissiez l'installation du réseau.
Ligne 6: Vérifiez la présence de fichiers dans le répertoire linux %%%
>4:# __cd /usr/src/linux ; make menuconfig__ %%%
Ligne 4: Nous entrons dans l'interface de configuration du noyau %%%
Configurer le noyau selon vos choix ou reportez vous à une aide sur le sujet.
*__reload__ Recharge le fichier de configuration du serveur ssh.
*__Force-reload__ Recharge le fichier de configuration du serveur ssh sans prendre en compte les erreurs.
Fichier contenant notamment le log des connections: /var/log/auth.log
Ligne 1: affichage du log de connexions ssh
Fichier de configuration du serveur:
22 est le port par défaut pour le ssh, pour écouter sur plusieurs ports en même temps, il suffit de mettre cette ligne autant de fois que nécessaire
Permet de faire de l'affichage distant grâce à du ssh%
Lance le serveur ssh que sur l'adresse IP spécifiée. Ne rien mettre pour "écouter" sur toutes les interfaces possibles
Un exemple de fichier de configuration fonctionnel est disponible à la fin de ce dossier.
L'utilisation de ssh est extrêmement aisée, il suffit depuis un poste distant de taper la commande suivante:
!!Partie 4: Configuration réseau
Votre serveur est maintenant installé et configuré pour votre réseau local, avec une adresse IP de votre choix. Nous allons l'adapter au réseau étendu.
Nous allons lui attribuer une adresse IP selon les exemples évoqués précédemment, pour plus de détails vous trouverez un tableau d'adressage complet à la fin de ce document.
Nous allons tout d'abord commencer par fixer la redirection automatique du noyau.
__Fichier /etc/network/options__
Nous allons définir l'IP fixe de votre deuxième carte réseau.
__Fichier /etc/network/interfaces__
Je dispose d'equipement pour me connecter, mais il n'y a pas beaucoup de monde qui font du wifi près de chez moi.
Cette Association a pour objet de promouvoir l’utilisation des réseaux sans fil dans le respect de la législation et de la réglementation en vigueur.
Le siège social est fixé à Nantes (44000).
Il pourra être transféré par simple décision du conseil d’administration de l’Association, soumise à la ratification de l’assemblée Générale suivante.
En cas de vacances, le Conseil d’Administration pourvoit provisoirement au remplacement de ses membres. Il est procédé à leur remplacement définitif par la prochaine assemblée générale. Les pouvoirs des membres ainsi élus prennent fin à l’époque où devrait normalement expirer le mandat des membres remplacés.
Tout administrateur peut donner mandat à un autre administrateur aux fins de le représenter et de procéder en son nom à tous les votes et scrutins du Conseil d’Administration. Chaque administrateur ne peut être porteur que d’un seul pouvoir.
Tout administrateur n’étant pas présent à deux Conseil d’Administration ans justification, est considéré comme démissionnaire.
L’Assemblée Générale est formée par la réunion des membres de l’Association. Elle se réunit au moins une fois par an, sur convocation du Président ou sur la demande de la majorité des membres du Conseil d’Administration. Son ordre du jour est réglé par le Conseil d’Administration; il est indiqué sur les convocations. Quinze jours au moins avant la date fixée, les membres de l’Association sont convoqués par les soins du Président.Le Président, assisté des membres du Conseil d’Administration, préside l’Assemblée, et expose la situation morale de l’Association.
Lors des assemblées générales annuelles, le trésorier rend compte de sa gestion et soumet le bilan financier à l’approbation de l’Assemblée.
Les délibérations de l’Assemblée ne sont valables que si la moitié au moins des membres présents sont d’accord. Tout membre de l’association peut donner mandat à un autre membre aux fins de le représenter et de procéder en son nom à tous les votes et scrutins de l’Assemblée Générale. Chaque membre ne peut être porteur que d’un seul pouvoir.
L’assemblée générale extraordinaire est compétente pour modifier les statuts, décider la dissolution, la fusion de l’association. Elle est convoquée par le président selon les modalités de l’assemblée ordinaire.
Un règlement intérieur (“ Charte ”) si besoin est, est fixé par le Conseil d’Administration.
Dans la limite de ses attributions, le Bureau peut confier à l’un de ses membres des fonctions ou des pouvoirs nettement précisés.
!!Article 14 - Modification des Statuts.
Les présents statuts ne peuvent être modifiés que sur proposition du conseil d’Administration et soumis à l’Assemblée Générale Extraordinaire pou approbation, selon les règles définis à l’article 11. Les décisions sont prises à la majorité des voix.
- [FAQ législation|FaqLegislation] : toutes les questions concernant la loi et le Wi-Fi
- [FAQ technique logiciels, réseaux, et systèmes d'exploitations|FaqTechniqueSoft] : toutes les questions spécifiques
Celle-ci est constituée de noeuds dans différentes villes, interconnectés au moyen de tunnels sur l'Internet. Une base d'authentification, commune pour toutes les villes, est réalisée gràce à un des serveurs radius fédérés autour d'un serveur radius maître, lui-même associé à une base de données SQL. De cette façon, les données d'authentification peuvent être diffusées dans toutes les villes.
!Liaisons en wifi
Actuellement, les noeuds sont soit isolés, soit reliés entre eux au moyen de tunnels (NDR : à Nantes, de 2 à 5 noeuds sont ainsi interconnectés). Plusieurs problèmes sont à résoudre pour avoir un maillage du réseau en utilisant des liaisons wifi : le premier problème évoqué est la faible densité par rapport au territoire à couvrir, ensuite, dans le cas de liaisons entre points d'accès, certains points d'accès sont incompatibles entre eux. Enfin, il faut surveiller une éventuelle concurrence (ex. Orange).
Un exemple de liaisons en wifi uniquement (pour offrir une connexion internet à des foyers isolés) existe à Granville, en mettant des relais au sommet de chateaux d'eau. La qualité de la connexion est satisfaisante. Ce type d'installation (sur des chateaux d'eau) est soumis à autorisation prefectorale.
*dans le cas d'un accès internet, de se rapprocher d'un fournisseur d'accès internet, Free, notamment : ils n'ont pas d'offre commerciale en wifi (mais ils seraient en contact avec Alcatel pour en développer une) et ils offrent de bonnes performances sur l'accès internet (ping à 25/30 ms. sur du dégroupé).
*de matériel : 1 machine (pas nécessairement puissante, un Pentium II suffit), 1 AP, 1 antenne. Une alternative a été proposée : le système ''hotspot easy''.
La mise à disposition du public d'un accès internet pose plusieurs problèmes. Le premier est, dans le cas d'un abonnement classique auprès d'un fournisseur d'accès internet, la responsabilité engagée par la personne qui prend l'abonnement. Il semble donc nécessaire d'entammer une démarche auprès d'un founisseur d'accès, au moins pour cette préoccupation de responsabilité. De même, il sera peut-être nécessaire d'envisager une authentification des utilisateurs se connectant (mais, avec le problème de la validité juridique de cette authentification). Peut-être une piste : prendre des empreintes de cartes bleues pour permettre la connexion (sans que cette prise d'empreinte n'entraine de facturation). En tout cas, cette question légale semble être la plus importante à ce stade du projet.
*d'une aide financière,
On peut montrer l'intérêt de la technologie en expliquant ce que l'on peut faire avec, ou quelles sont les limites (portée, ...), les précautions (sécurité, ...) par exemple. Ca permettrait également d'attirer ce public auprès de l'association, et développer le nombre de noeuds du réseau. Les personnes présentes à cette réunion ont réaffirmé leur intérêt pour la rencontre autour d'un projet de construction d'un réseau libre.
Les conférences de la linux party vont être filmées et diffusées (NDR: dans le cadre du [projet oasis|http://www.oasis-tv.net/]). Pour faciliter la diffusion des conférences (en streaming vidéo), il a été évoqué de réaliser une liaison entre l'Olympic et le site du service de formation continue de l'Université de Nantes (anciens chantiers Dubigeon de Nantes), ce dernier effectuant le relai (sur le réseau O.mega), vers le site de diffusion d'Oasis vers internet. La difficulté de l'établissement de cette liaison est que les deux sites (l'Olympic et Dubigeon) ne sont pas directement visibles l'un de l'autre et il est donc impératif de mettre un ou plusieurs relais. L'emplacement du relai doit remplir plusieurs critères :
*il faudrait faire des tests sur de plus courtes distances avant (ex. lors de la Linux Party), histoire de s'entrainer et d'éprouver les configurations.
Une partie de la réunion a été consacrée à des tests de matériel (3 AP, (au moins) 3 portables avec des cartes), en particulier pour faire des liaisons AP-AP (1 configuré en AP, l'autre en pont ou en répéteur). On a convenu de refaire des tests similaires samedi 20 mars, lors de la linux party.
*une synergie inter-régionale (Bretagne - Pays-de-la-Loire, l'appel à projets couvre ces deux régions); il y a des associations faisant partie de la [fédération France-wireless|http://www.wireless-fr.org] à [Angers|http://240plan.ovh.net/~angerswi/], [Brest|http://www.brest-wireless.net/], [Le-Mans|http://www.lemans-sansfil.net/], [Nantes|http://www.nantes-wireless.org] et [Rennes|http://www.rennes-wireless.org/], est-ce que ça serait faisable de monter un projet commun ?
*la complémentarité entre le sans-fil et les réseaux existants,
**authentification, sécurité (WPA, EAP/TLS,radius, ...),
**réseau (commutation/routage entre des réseaux terrestres et sans fil, OSPF/BGP),
**on demande à Mégalis des subventions pour acheter du matériel pour chaque ville: un serveur d'authentification, 1 serveur de secours, 1 point d'accès
*__on essaie de se réunir tous, pour finaliser le dossier, VENDREDI soir, 7 MAI, à Nantes, hebergement possible à Nantes pour ceux qui viennent de loin__.
Article authentification/sécurité :
La sécurité du réseau métropolitain est assurée par un système d’authentification perfectionné, de cryptage des communications, et d’enregistrement dans des fichiers journaux.
Nous comprendrons à travers cet article comment s’opèrent les différents mécanismes qui vous permettent de vous connecter au réseau métropolitain, et comment votre sécurité, et celle du réseau sont assurées. Nous verrons enfin par des questions/réponses que le système mis en place par les associations est robuste, pessimiste et performant.
!!1 - Le réseau sans-fil repose sur une authentification cryptée
- lorsque le client essaye de se connecter, il reçoit une invitation dans laquelle il rentre son identifiant et son mot de passe.
- Cette communication est cryptée jusqu’au serveur d’authentification qui vérifie que l’utilisateur existe dans la base de donnée (base de donnée elle-même cryptée)
- S’il ne l’est pas, l’accès est tout simplement rejeté et il reçoit un message de rejet « Impossible de se connecter au réseau sans-fil »
- S’il existe, il est accepté et il est connecté au réseau, il reçoit une adresse IP automatiquement qui sera une sort d’identifiant avec lequel chacune de ses communications (vers l’Internet et les autres machines du réseau) seront enregistrées dans un journal.
Depuis votre demande d’authentification, jusqu’à ce que vous vous déconnectiez du réseau, toutes les communications ont été enregistrées, cela couvre :
- les données échangées : taille, date, nom du fichier
Le journal est centralisé vers un serveur qui n’est accessible par aucune machine du réseau (quelle qu’elle soit). C’est le serveur qui écoute les fichiers journaux, et non les journaux qui viennent au serveur.
!!3 – L’authentification est hiérarchisée et centralisée
Vous résidez à Angers, mais vous êtes de passage sur Nantes pour le week-end, rendez-vous près d’une borne sans-fil de l’association et rentrez votre identifiant et votre mot de passe. Le serveur d’authentification se charge de consulter ses homologues brestois, nantais et angevins et même nationaux (Lyon, Le Mans, Marseille, Toulouse …) afin de vous authentifier.
Tous les jours, l’identifiant et le mot de passe des nouveaux inscrit est recopié vers la base de donnée nationale de la fédération France Wireless, cela vous permet avec un seul couple identifiant/mot de passe de vous connecter dans la France entière.
!Comment être sûr que personne ne peut découvrir mon identifiant/mot de passe pendant que mon ordinateur les envoie au serveur ?
!Si un serveur d’authentification tombe en panne ?
- l’authentification ne fonctionnant plus, la borne sans-fil au travers de laquelle vous vous connecté rejettera automatiquement tout ce qui provient de l’extérieur (vous en l’occurrence) sans même chercher à savoir pourquoi ni comment
!Si la base de donnée contenant les identifiants/mots de passe est détruite ?
!Existe-t-il un moyen quel qu’il soit de rentrer de manière non authentifiée sur le réseau ?
- décrypter la clé qui sert à communiquer entre la borne sans-fil et votre ordinateur, or elle change toute les 5 minutes, et il faut 30 minutes minimum pour la décrypter.
- désactiver l’authentification au niveau des bornes sans-fil, et donc connaître le mot de passe avec lequel on les administre (or au bout de 3 mot de passe erronés vous êtes rejeté)
- désactiver le serveur d’authentification, or venant de l’extérieur c’est impossible, puisque le serveur est un mur de feu (firewall) qui n’a aucun port quel qu’il soit d’ouvert.
- connaître la clé secrète qui sert à initier la connexion sans-fil, or c’est impossible car il faudrait éditer les fichiers de configuration du serveur d’authentification, donc y avoir accès, or nous avons vu que c’était impossible
- si un serveur d’authentification est désactivé, le routeur ne vous donne pas d’adresse IP (votre identifiant au niveau du réseau), donc vous ne pouvez pas communiquer avec les machines du réseau et poursuivre votre attaque
__Exemple de circuit d'authentification :__
Il est apparu depuis quelques temps que certains personnes utilisaient sur le forum le terme Radius à mauvais escient, ce dessin a pour but d'expliquer à quels niveaux (physique, réseau, application ...), s'effectue une authentification via serveur Radius, et quels sont les autres méthodes d'authentification que l'on peut implémenter une fois cette authentification accomplie.
C'est un premier jet, et c'est dur d'expliquer ce qui se passe, mais ce schéma vise à différencier les différentes authentifications :
- l'authentification radius est au niveau physique
- l'authentification via NoCat(Auth ou Splash) est faite au niveau application
Il serait bien de modifier le schéma ...%%%
J'ai modifié l'image en espèrant que c'est plus correct (RItalMan)
*2 AP linksys Wap 11 (dont 1 modifié en DWL900+
- Une carte Wifi style la Linksys WMP54G (avec mini pci intégré)
- Un fer à souder (afin d'enlever le capot de la carte pci et de dessouder les éventuels points de soudures)
Ca doit vous donner cela : (bien verifier que les points de soudure ne se touche pas ...)
Jifouille :) http://jfhome.no-ip.com/wifi
''Discussion autour du wifi en général, matériel nécessaire, portée, débit, limites et contraintes, sécurité.''
* Génération des certificats : autorité, client, et serveur
* DLink DWL900+ (version originale, firmware 2.61)
* Wap11v2 > DWL900+ (firmware 2.56)
Le Wireless multi-point bridging a bien fonctionné avec les ordinateurs connectés aux point d'acccès DLink ou Dlink modifiés.
Un problème dans la configuration du point d'accès US Robotics (dû au support javascript du navigateur, ou autre problème) ne nous a pas permis de tester si un client pouvait joindre les autres à travers le matériel USR. Cependant il y a fort à parier que cela soit possible.
La date de cette AG n'a pas été encore fixée, mais il serait idéal pour la plupart des membres qu'elle se déroule durant le début d'avril afin de pouvoir "régulariser" au plus vite la situation.
Do you want me to run the apacheconfig script now ? [y/n] : répondez y%%%
Save these changes to the configuration files ? [y/n] : répondez y%%%
!!Partie 2: Configuration du serveur Web
Une fois tous les serveurs installés il est nécessaire de les configurer.
Les détails de chaque option du fichier de configuration d'Apache ne seront pas détaillés dans cette partie.
Modifiez les parties suivantes du fichier /etc/apache/httpd.conf
Toujours dans le fichier de configuration, dé-commentez les lignes suivantes:
La configuration étant maintenant finie, il est nécéssaire de redémarrer apache
Nous allons maintenant configurer phpMyAdmin
Éditez le fichier /var/www/phpMyAdmin-2.5.4/config.inc.php
>Ligne 79 :=> remplacez 'config' par 'http'
''Fin de la rue Scribe''
enfin, continuez parcequ'on a déjà commencé.......%%%
*Vincent Le Fur (wifi44)
Il serait nécessaire d'avoir un fichier des coordonnées et des numéros de téléphone; les renseignements existent sur les fiches d'inscription. (voir éventuellement une déclaration à la CNIL si on doit maintenir un tel fichier).
**réunion à Brest le 4 Mai; 4 points reliés en wifi à Brest, à 100m autour du point d'accès Mégalis...
*Fixer une réunion avant le rendu Mégalis... Vendredi prochain (7 Mai). Convier Linux Nantes, 1 personne d'Angers, 1 personne du Mans (Je (Rémi) les contacte; hébergement possible à Nantes (Psio)).
**On en reste à l'interconnexion des villes, avec déploiement de hotspots et interconnexions de hotspots entre eux (en wifi).
Quelques aspects de l'authentification ont été rappelés:
*Quelqu'un qui arrive sur un point d'accès a une page d'authentification, il a eu ses logins/passwords auprès de l'association ou de la fédération. Les logins/passwords sont authentifiés sur le radius. Les données d'identification peuvent être fournies en HTTP ou EAP/TLS. La redondance des données d'authentification sont faites par réplication des bases de données MySQL. L'intérêt d'avoir un serveur d'authentification sur place, c'est qu'on puisse gérer localement les données d'authentification.
**une configuration plus simple (voire intégralement en ligne de commande),
**une authentification et un chiffrement plus robustes.
- Configurer son AP pour que son IP locale soit
- Configurer l'AP pour que la connexion haut debit soit gérée par DHCP
- Configurer son PC en utlisant l'assistant de configuration réseau (connexion à internet via un réseau local)
J'ai recu ma ~FreeBox hier, 10 minutes apres l'avoir débalée, j'étais connecté. Aucune difficulté pour l'instant...
Ensuite, je vous conseille d'installer un firmware hacké afin de gérer un DHCP static (plus pratique lors qu'on veux faire du mapping de ports). Vous en trouverez plusieurs sur le net, voici quelques exemples :
- WIFIBOX sur SOURCEFORGE : [http://wifi-box.sourceforge.net/]
1) Retourner la carte pour ouvrir le capot d'antenne avec les ongles ou un outil tres fin:
Enfin on peut désengager la carte electronique en exerçant une petite pression avec les pouces dans le sens des flèches (2 sur la vue suivante)
__Cisco Aironet 350 PCMCIA Modifications__
L'auteur de ce mod indique qu'il n'a pas pu identifié le connecteur d'antenne qui se trouve à coté des LED ...%%%
__SMC-2632 802.11 Transceiver Modification to add an SMA connector for external antennas :__
!WPA - Wi-Fi Protected Access
Le WPA est une technologie de cryptage permettant de securiser les réseau sans-fil.
Un autre point important qu'apporte le WPA est l'authentification que le WEP n'offre pas.%%%
Le WPA support le protocole RADIUS ce qui permet une authentification centralisée.%%%
Les méthodes d'authentification du WPA 802.1X incluent EAP-TLS, EAP-TTLS, EAP-LEAP, EAP-PEAP et d'autres implémentation de l'EAP.
Ainsi, la sécurité du réseau sans-fil est centralisé, donc accrue.
WPA-PSK est une version simplifiée pour une utilisation personnelle.%%%
La configuration du WPA-PSK commence par la determination d'une clé statique ou "passphrase" tout comme le WEP.%%%
#Authentification et Distribution de la PMK (Pair-wise Master Key)
Le __PTK__ est une fonction utilisant le __PMK__, les __adresses MAC__ de l'émetteur et du destinaire et un fragment des 2 premiers paquets du procéssus d'identification WPA.
*KCK (Key Confirmation Key)
N'importe quels éléments du réseau qui écoute passivement les trames peut générer le PTK, de plus s'il le manque, il peut envoyer un "DISASSOCIATE" et cela relancera ainsi le procéssus d'identification du WPA.
The Profit is expressed in decibel.
*!Calculation of the Profit:
Table connecting the ratio [http://tim069.free.fr/wireless/gain-rapport.png] and the Profit:
It is a relation putting in report/ratio the Profit (in dB) and the power (in MW with an impedance of 50 Ohms)
The dBi expresses in dB the profit of an antenna compared to air isotropic which emits the same quantity of energy in all the directions.
For the frequencies higher than 890 MHz, the profit of the antenna is expressed relative with an isotropic radiator (dBi).
Calculation of the theoretical Profit of a parabola:
!Configuration du Cryptage WEP, WPA, WPA/PSK :
__Exemple de configuration WEP sur un DI-624:__
__Exemple de configuration WPA sur un DI-624:__
__Exemple de configuration WPA-PSK sur un DI-624:__
Une fois l'AP configuré, il faut répéter la meme operation sur toutes les autres cartes et AP qui veulent communiquer ensemble.
Philips WiFi
user (non modifiable) |
Castlenet WiFi CBW511|
Vous découvrirez dans ce chapitre le fonctionnement des serveurs DNS, ainsi que l'installation d'un serveur DNS primaire et d'un serveur DNS secondaire sur un réseau. Enfin vous découvrirez comment configurer les noeuds pour fonctionner avec ces serveurs DNS.
Le service DNS à été créé pour simplifier la vie des utilisateurs, en effet il est beaucoup plus simple de retenir angers-wireless.net que son adresse IP Un utilisateur cherchant à visiter le site internet aura juste à taper www.angers-wireless.net dans son navigateur favori pour accéder au serveur web d'Angers-wireless.
L'installation du service DNS est extrêmement simple, il suffit de taper la commande suivante:
!!Partie 3: Configuration du serveur DNS primaire
Le répertoire /var/cache/bind/ est destiné à accueillir les fichiers de zone des DNS primaires et secondaires.
Si le serveur n'est pas en mesure de répondre aux demandes des clients (s'il ne possède pas dans son fichier de configuration ou dans son cache la correspondance IP <-> DNS), il transmettra automatiquement la demandes à d'autres serveurs DNS, dans notre cas les DNS du FAI.
__Fichier /etc/bind/named.conf__%%%
Il faudra ensuite modifier le fichier /etc/resolv.conf pour attribuer l'ordre dans lequel seront interrogés les serveurs DNS.%%%
Nous avons ajouté les lignes suivantes à la fin du fichier named.conf:
> file "angers.fw.zone";%%%
angers.fw désigne le fichier ''/var/cache/bind/angers.fw.zone'' où seront stockés les enregistrements de la zone.%%%
Pour vérifier si le fichier named.conf est bien configuré, il est nécessaire d'éxécuter la commande:
Ligne 1: Vérification de la configuration%%%
Fichier de zone%%%
Organisation d'un fichier de zone%%%
Ligne 1: Début de l'enregistrement SOA (Start of a zone of Authority), cet enregistrement permet de définir le nom du serveur DNS primaire%%%
Ligne 2: Le serial est le numéro d'enregistrement de la zone DNS, il permet au serveur DNS de savoir si le fichier a été modifié. Pour valider l'enregistrement, il est nécéssaire de modifier le serial à chaque modification sinon lors du reload, le serveur ne rechargera pas le fichier de configuration.%%%
Ligne 3: Toutes les xxx secondes le serveur DNS secondaire vérifiera auprès du serveur DNS primaire si le fichier de zone à été modifié.%%%
Note: L'indicateur de commentaires dans les fichiers de zone est le '';'' et non le ''#''
Exemple de fichier de zone%%%
Une fois la configuration du fichier de zone effectuée, il est nécessaire de vérifier la syntaxe de ce fichier:
Ligne 1: Vérification de la syntaxe de la zone angers.fw
La commande affiche bien que la zone du domaine angers.fw ayant le numéro de série 2003111803 est correcte (OK).
Il est nécessaire après chaque modification, de recharger le fichier de configuration.
Ligne 1: rechargement des fichiers de zone DNS%%%
!!Partie 4: Configuration du serveur DNS secondaire
Puis modifiez les fichiers de la manière suivante.
Fichier /etc/bind/named.conf%%%
Puis ajoutez à la fin du fichier named.conf%%%
> file "angers.fw.zone";%%%
Ensuite faites un ''reload'' pour recharger le fichier de configuration.%%%
Ligne 1: rechargement des fichiers de zone DNS%%%
Dans ce chapitre vous découvrirez comment installer et configurer un serveur DHCP.%%%
!!Partie 2: Configuration du serveur DHCP
Affiche l'état du serveur dhcp.
Fichier de configuration du serveur dhcp:%%%
Les clients qui se connecteront maintenant se verront automatiquement attribuer une adresse IP sur la plage définie ci dessus..
Dans ce chapitre vous apprendrez à installer, à configurer et à utiliser le logiciel Vtun.%%%
Habituellement cryptés et fiables les VPN sont des plus en plus utilisés dans les entreprises pour relier plusieurs sites entre eux, ils sont une alternative financièrement très intéressantes aux lignes privées.%%%
Le logiciel Vtun a été choisi, notamment pour sa facilité de mise en oeuvre et sa sécurité (cryptage 128 bits), il a une réputation de fiabilité et de performance.%%%
De plus vtun peut fonctionner avec des noms de domaines (à la place d'adresses IP) ce qui est extrêmement pratique lorsque les noeuds ne possèdent pas d'IP internet fixe.
!!Partie 2: Configuration
Fichier /etc/vtund.conf__
> syslog daemon; #Fichier de logs à utiliser%%%
> ifconfig ''%% xxx.xxx.xxx.xxx pointopoint xxx.xxx.xxx.xxx'';%%%
> ifconfig ''%% xxx.xxx.xxx.xxx pointopoint xxx.xxx.xxx.xxx'';%%%
De plus, les tunnels Vtun s'ajoutent en tant qu' interfaces réseaux virtuelles vous pouvez donc les afficher grâce à la commande ''ifconfig''.
>1:# ifconfig | grep tun
Ligne 1: Affichages des interfaces réseaux utilisées pour le tunneling
En cas d'échecs, pour avoir un affichage détaillé de la procédure de connexion ajoutez l'option ''-n'' à votre commande ''client''.
Connecter le lien vpn et affichage de la progression
!!Partie 3: Exemple de configuration
c'est pourquoi vous trouverez ci-dessous un exemple de configuration d'un tunnel fonctionnel.
il a été décidé que Max fera office de serveur pour son réseau, celui de Fred sera donc le client.
!!Fichier de configuration de Fanfserv
> syslog daemon; #Fichier de logs à utiliser%%%
> ifconfig ''%% pointopoint'';%%%
!!Fichier de configuration de Teuxe
> syslog daemon; #Fichier de logs à utiliser%%%
> ifconfig ''%% pointopoint'';%%%
Dans ce chapitre vous apprendrez comment installer et configurer un serveur Samba pour qu'il fasse office de serveur WINS et de CPD (Contrôleur Principal de Domaine).
*Note: Cette partie du dossier n'est absolument pas indispensable, elle n'est utile que pour afficher les postes dans le voisinage réseau. De plus, étant donné que les failles de sécurité et les virus exploitant les failles de netbios (port 135 notamment) sont très nombreuses, il peut être préférable de bloquer les communications entre les noeuds sur les ports 135 à 139, à vous de décider.
*Note: SAMBA à été créé à la base pour permettre de réaliser des échanges de fichiers, mais peut aussi faire office de serveur wins et de controleur principal de domaine.
WINS permet la résolution NomMachine <-> IP, mais ce n'est pas lui qui permet l'affichage des ordinateurs dans le voisinage réseau de windows (ou dans LinNeighborhood sous linux). Le protocole netbios, permettant notamment d'afficher le voisinage réseau, n'est pas routable, c'est-à-dire qu'il ne se propagera pas sur les sous réseaux. Sous un réseau Windows, un système d'élection permet de définir un master navigateur qui sera en quelque sorte le contrôleur du voisinage réseau. Nous allons faire en sorte que nos serveurs linux remportent toujours ces élections et deviennent donc master navigateur ou local navigateur selon le statut du serveur (central ou de noeud). Le réseau étant divisé en plusieurs sous réseaux, nous allons assigner le rôle de master navigateur à notre serveur principal et chaque serveur noeud aura un rôle de local navigateur, chaque local navigateur échangera ses informations avec le master navigateur, de cette manière tout le réseau aura accès aux postes via le voisinage réseau.
Note: il vous sera demandé si vous désirez utiliser Debconf pour configurer samba, répondez non.%%%
Note 3: Create samba password file ? YES%%%
!!Partie 3: Configuration de Samba
La configuration et le partage de répertoires sur le réseau depuis un poste Linux utilisant samba n'entre pas dans les objectifs de ce dossier, vous trouverez plus de détails sur sa configuration sur internet dans les nombreux guides consacrés à ce sujet.
Fichier de configuration:%%%
>netbios name = AWServer #Nom réseau du serveur que vous configurez%%%
>server string = Serveur Central #Commentaire du serveur que vous configurez%%%
Paramètres serveur : à ajouter si vous configurez un serveur central%%%
Paramètres serveurs noeuds: à ajouter si vous configurez un serveur de noeud.%%%
Recharge le fichier de configuration du serveur samba.
Recharge le fichier de configuration du serveur samba sans prendre en compte les erreurs.
Nous allons maintenant identifier les services proposés par notre réseau au point à ce niveau de la documentation.%%%
Un poste situé sur un noeud pourra, sous Windows, grâce à son voisinage réseau afficher tous les postes connectés au réseau étendu.
Les 2 principaux protocoles utilisés sur Internet sont l'OSPF (Définit dans la RFC 2328) et le standard BGP4 (Définit par la RFC 1771).
Le protocole OSPF (Open Shortest Path First) a été développé pour faciliter le routage sur de très grands réseaux, notamment Internet.%%%
Le BGP4 (Border Gateway Protocol Version 4) définit en 1995 par la RFC 1771 est un protocole de routage dynamique, et permet la distribution de tables de routage entre des routeurs BGP4. Chaque routeur BGP4 possède un AS (Autonomous System number). Les AS sont utilisés sur internet et la plage 1 -> 64511 est réservé aux routeurs d'internet. Une plage publique a été définie, de 64512 -> 65535. Nous allons utiliser la plage 651xx (65100 + numéro de département).
Les AS peuvent être comparés à des identifiant de zone, chaque routeur s'échangeant les routes lui permettant de communiquer avec d'autres zones.
Zebra fonctionne grâce à un système de hiérarchie. Les réseaux sont reliés ensemble par une zone appelée ''épine dorsale'' ou ''zone 0 ''. Tout le trafic passe par la zone zéro, et tous les routeurs de cette zone posséderont les informations de routage de toutes les autres zones. Dans notre cas la zone 0 sera composée de tous les serveurs de toutes les associations départementales. ( pour Nantes, pour Angers, etc ...).%%%
Pour chaque protocole, lors de la configuration, l'utilisateur choisit quelles seront les tables de routage qui seront redistribuées .%%%
Pour le protocole OSPF, lors de la configuration sur un des serveurs de la zone 0, nous indiquerons à ospfd de redistribuer les routes BGP, Statiques et OSPF vers les noeuds de la zone 1. Par conséquent les noeuds de zone 1 sauront comment accéder aux réseaux qui sont derrière des serveurs de zone 0.%%%
Par contre pour le protocole BGP4, lors de la configuration d'un serveur de la zone 0, nous n'indiquerons pas de redistribuer les routes OSPF. En effet, il est inutile de redistribuer au serveurs de zone 0 (et donc automatiquement aux noeuds de zone 1), les routes permettant d'atteindre un sous réseau précis d'un noeud. Une route globale vers le serveur central d'une communauté est suffisante.
La version utilisée par la communauté wireless francophone au moment où ce document est écrit est la 0.94, elle est disponible en téléchargement sur le site officiel de zebra (www.zebra.org).
>4:# ./configure --sysconfdir=/etc/zebra%%%
Ligne 4: Configuration pré-compilation, on indique ici le répertoire où seront situés les fichiers de configuration%%%
Nous allons maintenant configurer zebra pour l'adapter à la configuration du réseau.
!!Partie 4: Configuration de Zebra et Ospf
!!Configuration du serveur central
__Fichier /etc/zebra/zebra.conf__
>log file /var/log/zebra/zebra.log%%%
log file /var/log/zebra/zebra.log : Fichier de log%%%
log stdout : Afficher à l'écran les actions exécutées par zebra%%%
Note: Les commentaires ne sont pas pris en compte dans les fichiers de configuration de zebra, ospf et bgp, ne faites donc pas précéder vos lignes d'un ''#''.
Ce fichier de configuration est relativement simple, détaillez-y vos interfaces physiques, vos alias et vos tunnels .
Note: Tapez ''ifconfig'' dans un shell pour obtenir la liste de vos interfaces.
__Fichier /etc/zebra/ospfd.conf__
Les commentaires ne sont pas pris en compte dans les fichiers de configuration de zebra, ospf et bgp, ne faites donc pas précéder vos lignes d'un ''#''.
Ce fichier de configuration est relativement simple, détaillez-y vos interfaces physiques, vos alias et vos tunnels .
Note: Tapez ''ifconfig'' dans un shell pour obtenir la liste de vos interfaces.
__Fichier /etc/zebra/ospfd.conf__
Mode debug (affichage à l'écran de ce qui se passe)%%%
Ne déclarez que les tunnels interne à votre communauté, il ne faut pas déclarer dans le fichier ospfd.conf les interfaces tunnel vers les autres communautés, en effet le protocole OSPF ne sera ici utilisé que pour l'échange de routes à l'intérieur de la communauté.
La description n'est la que pour faciliter le traitement des fichiers de logs%%%
Fin de la déclaration des interfaces%%%
Configuration du routeur de type OSPF%%%
Comme vous pouvez le constater la configuration du fichier ospfd.conf est relativement simple.
__Fichier /etc/zebra/bgpd.conf__
>log file /var/log/zebra/bgpd.log
>debug bgp filters
Afficher à l'écran les actions exécutées par zebra%%%
Fichier de log%%%
Début de déclaration des actions à afficher (fichiers de log et écran)
Configuration du routeur de type bgp
*Configuration d'un noeud
Pour remplir ces fichiers, les commentaires sont les mêmes que pour les fichiers du serveur.
__Fichier /etc/zebra/zebra.conf__
>#log file /var/log/zebra/zebra.log%%%
>log stdout #Affiche les informations à l'écran (utile pour les tests)%%%
__Fichier /etc/zebra/ospfd.conf__
>log file /var/log/zebra/ospfd.log%%%
> area 49 import-list filtre_local%%%
>access-list filtre_local permit
>access-list filtre_local deny any%%%
>User Access Verification%%%
> B - BGP, > - selected route, * - FIB route%%%
> B - BGP, > - selected route, * - FIB route%%%
Ligne 2: Permet d'afficher les routes obtenues grâce au protocole ospf%%%
Ligne 3: Permet d'afficher toutes les routes obtenues grâce au protocole bgp%%%
Vous pouvez aussi vérifier si vous avez bien reçu les routes grâce à la commande ''show ip route ospf'' en telnet.
Nous allons maintenant vérifier le bon fonctionnement du routage et réaliser quelques scans réseau grâce au logiciel Nmap (apt-get install nmap).
Nous pouvons bien voir ici l'itinéraire de la requête, elle passe tout d'abord par le noeud auquel elle est reliée, puis du noeud passe au serveur central d'Angers, puis le serveur central de Nantes, ensuite le serveur central de Brest et enfin le noeud sur lequel on fait le tracert.
!!Partie 6: Reconfiguration des liens vtun
Grâce à BGP4 le routage entre les communautés s'effectue automatiquement, pour éviter les conflits de routes, il est donc indispensable de supprimer les lignes du fichier /etc/vtund.conf créant des routes statiques entre les communautés.
__Fichier /etc/vtund.conf__%%%
> ifconfig "%% pointopoint";%%%
Note: Pensez bien à relancer vtund avec l'option -s et à relancer les liens actifs pour que les modifications puissent êtres prises en compte.
Affichage de la panne.
!!Chapitre 10: Installation et mise en place de Netfilter (iptables)
Dans ce chapitre vous apprendrez comment fonctionne Netfilter (iptables) et vous apprendre à créer un script permettant de le configurer.%%%
Netfilter (iptables) est un logiciel de firewalling permettant de sécuriser un serveur linux.
Iptables est principalement composé de 3 tables: NAT, FILTER et MANGLE%%%
Chacune de ces tables ont des commandes (chaines) et des usages spécifiques.
finition Chaine|
finition cibles
Permet de spécifier 'à l'arrivée du firewall'|
Permet de spécifier 'à la sortie du firewall'|
Table utilisée par défaut si rien n'est spécifié. Contient toutes les règles de filtrage , chaque règle contient un cible indiquant comment traiter le paquet.|
Table contenant les règles concernant la modification de paquets|
Il n'existe pas d'interface ''officielle'' permettant de traiter les règles iptables, tout se fait à partir de commandes plus ou moins complexes que nous allons détailler dans cette partie.
Ajoute la règle à la fin de la chaine spécifiée (INPUT, PREROUTING, FORWARD, ...)
Supprime la chaine spécifiée, fonctionne soit avec le numéro de chaine soit avec la chaine complète
Permet de définir la cible par défaut d'une chaine (INPUT, PREROUTING, FORWARD, ...)
Permet de spécifier un protocole (tcp, udp, icmp,all)
Spécifie une adresse source
Spécifie une adresse de destination
Spécifie une interface d'entrée
Spécifie une interface de sortie
Spécifier le port source ou une liste de ports source, syntaxe: xxxx:xxxx
Ajouté à -sport ou -dport permet de spécifier plusieurs port, syntaxe: xxx,xxx,xxx
Spécifier le port de destination ou une plage de ports
Spécifier un flag tcp à matcher (SYN, ACK, FIN, RST, URG, PSH, ALL, NONE)
Spécifier un type de paquet icmp à traiter
Spécifier une adresse MAC à traiter
Permet de spécifier l'état du parque à traiter parmi les états suivants:
Spécifie une adresse de destination pour une translation NAT
Permet de spécifier un préfix pour les logs
Nous allons commencer par définir tous les différents éléments du réseau pour pouvoir leur appliquer des règles spécifiques.
#Puis on définit les ports autorisés vers le réseau global de la communauté%%%
# on définit une politique DROP donc restrictive par défaut%%%
#On définit les règles qui seront appliquées en TCP et UDP du réseau local vers le net%%%
#On définit les règles qui seront appliquées à destination d'internet pour les ports du noeud%%%
#On définit les règles qui seront appliquées en TCP et UDP depuis le réseau du node vers le réseau global %%%
#On définit les règles qui seront appliquées en TCP et UDP depuis le réseau du node vers le réseau de la communauté%%%
#On définit les règles qui seront appliquées en TCP et UDP depuis le réseau de la communauté vers le réseau du node%%%
#On définit les règles qui seront appliquées en TCP et UDP depuis le réseau de l'association vers le réseau du node%%%
#Maintenant on définit ce qui est autorisé sur le serveur, on utilisera les ports définis précédemment.%%%
Fichier start-server%%%
!!Chapitre 10: Installation et mise en place de Netfilter (iptables)
Dans ce chapitre vous apprendrez comment fonctionne Netfilter (iptables) et vous apprendre à créer un script permettant de le configurer.%%%
Netfilter (iptables) est un logiciel de firewalling permettant de sécuriser un serveur linux.
Iptables est principalement composé de 3 tables: NAT, FILTER et MANGLE%%%
Chacune de ces tables ont des commandes (chaines) et des usages spécifiques.
finition Chaine|
finition cibles
Permet de spécifier 'à l'arrivée du firewall'|
Permet de spécifier 'à la sortie du firewall'|
Table utilisée par défaut si rien n'est spécifié. Contient toutes les règles de filtrage , chaque règle contient un cible indiquant comment traiter le paquet.|
Table contenant les règles concernant la modification de paquets|
Il n'existe pas d'interface ''officielle'' permettant de traiter les règles iptables, tout se fait à partir de commandes plus ou moins complexes que nous allons détailler dans cette partie.
Ajoute la règle à la fin de la chaine spécifiée (INPUT, PREROUTING, FORWARD, ...)
Supprime la chaine spécifiée, fonctionne soit avec le numéro de chaine soit avec la chaine complète
Permet de définir la cible par défaut d'une chaine (INPUT, PREROUTING, FORWARD, ...)
Permet de spécifier un protocole (tcp, udp, icmp,all)
Spécifie une adresse source
Spécifie une adresse de destination
Spécifie une interface d'entrée
Spécifie une interface de sortie
Spécifier le port source ou une liste de ports source, syntaxe: xxxx:xxxx
Ajouté à -sport ou -dport permet de spécifier plusieurs port, syntaxe: xxx,xxx,xxx
Spécifier le port de destination ou une plage de ports
Spécifier un flag tcp à matcher (SYN, ACK, FIN, RST, URG, PSH, ALL, NONE)
Spécifier un type de paquet icmp à traiter
Spécifier une adresse MAC à traiter
Permet de spécifier l'état du parque à traiter parmi les états suivants:
Spécifie une adresse de destination pour une translation NAT
Permet de spécifier un préfix pour les logs
Nous allons commencer par définir tous les différents éléments du réseau pour pouvoir leur appliquer des règles spécifiques.
#Puis on définit les ports autorisés vers le réseau global de la communauté%%%
# on définit une politique DROP donc restrictive par défaut%%%
#On définit les règles qui seront appliquées en TCP et UDP du réseau local vers le net%%%
#On définit les règles qui seront appliquées à destination d'internet pour les ports du noeud%%%
#On définit les règles qui seront appliquées en TCP et UDP depuis le réseau du node vers le réseau global %%%
#On définit les règles qui seront appliquées en TCP et UDP depuis le réseau du node vers le réseau de la communauté%%%
#On définit les règles qui seront appliquées en TCP et UDP depuis le réseau de la communauté vers le réseau du node%%%
#On définit les règles qui seront appliquées en TCP et UDP depuis le réseau de l'association vers le réseau du node%%%
#Maintenant on définit ce qui est autorisé sur le serveur, on utilisera les ports définis précédemment.%%%
The purpose of this License is to make a manual, textbook, or other functional and useful document "free" in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others.
A "Modified Version" of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language.
The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. If a section does not fit the above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none.
A "Transparent" copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy that is not "Transparent" is called "Opaque".
Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML, PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.
A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific section name mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of such a section when you modify the Document means that it remains a section "Entitled XYZ" according to this definition.
If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.
You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License, with the Modified Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the Modified Version:
List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal authors, if it has fewer than five), unless they release you from this requirement.
State on the Title page the name of the publisher of the Modified Version, as the publisher.
Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.
Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the Addendum below.
Preserve the section Entitled "History", Preserve its Title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled "History" in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous sentence.
Delete any section Entitled "Endorsements". Such a section may not be included in the Modified Version.
If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate some or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section titles.
You may add a section Entitled "Endorsements", provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard.
You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version.
You may combine the Document with other documents released under this License, under the terms defined in section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its license notice, and that you preserve all their Warranty Disclaimers.
Translation is considered a kind of modification, so you may distribute translations of the Document under the terms of section 4. Replacing Invariant Sections with translations requires special permission from their copyright holders, but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. You may include a translation of this License, and all the license notices in the Document, and any Warrany Disclaimers, provided that you also include the original English version of this License and the original versions of those notices and disclaimers. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer, the original version will prevail.
Each version of the License is given a distinguishing version number. If the Document specifies that a particular numbered version of this License "or any later version" applies to it, you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does not specify a version number of this License, you may choose any version ever published (not as a draft) by the Free Software Foundation.
Dans ce chapitre, vous apprendrez à mettre en place Radius sur le réseau , qui permettra de sécuriser et identifier l'accès des utilisateurs au réseau. Cette partie est de loin la plus complexe à mettre en oeuvre mais permettra de sécuriser convenablement l'accès des utilisateurs au réseau, aussi bien au niveau contrôle d'accès au réseau qu'au niveau sécurisation des données circulant sur les ondes Radio par l'intermédiaire de matériel wireless.
Radius a un fonctionnement assez simple, et relativement fiable, un système Radius est divisé en 4 parties:%%%
Un NAS RADIUS aussi station d'authentification RADIUS %%%
Un client final.%%%
Le serveur RADIUS s'occupe de gérer la connexion des utilisateurs, il reçoit la demande provenant du NAS Radius, consulte la base de données utilisateur, et renvoie les informations de connexion au NAS Radius qui débloque l'accès de l'utilisateur si l'authentification à réussie.
Le NAS (Network Accès Service) Radius est le point d'accès au réseau, il fonctionne de manière bloquante, si une authentification d'un utilisateur se réalise avec succès son adresse IP est débloquée par le NAS et il peut accéder au réseau.
Le client final se contente d'envoyer ses informations de connexion, et de se faire débloquer son accès au réseau.
En revanche, on peut très bien utiliser un point d'accès ne supportant pas le 802.1x pour l'authentification des utilisateurs, il faudra par contre installer des pare-feus comme indiqué sur le schéma ci-dessous :
Il est important de noter que les données transitant entre le NAS et le serveur Radius sont cryptées, grâce à un échange de clef partagée (appelée Shared Key ou Secret) la communication entre le serveur et le Nas peut s'effectuer, de plus le réseau VPN étant crypté nous n'avons pas trop à nous inquiéter sur la sécurité des échanges de données entre le NAS et le Radius, le seul risque pourrait être une attaque d'une personne déjà identifiée, mais il faudrait pour cela qu'elle arrive a passer la sécurité du cryptage de données entre le NAS et le Radius, de plus la personne étant logguée, il sera très aisé de la retrouver.
Dans notre cas il y aura 2 serveurs Radius par ville, avec sur le NAS Radius une liste des serveurs à contacter en cas d'échec sur l'identification d'un utilisateur.
Nous voyons ici de quelle manière se déroule l'authentification d'un utilisateur au réseau. Les points d'accès supportant Radius en natif étant relativement rares, nous n'aborderons leur installation dans une prochaine version de ce dossier.
2:# sh configure ; make; make install%%%
Configuration de pptpd, dans ce fichier, nous allons définir la plage d'adresses ips qui sera attribuée aux clients.%%%
Fichier /etc/pptpd.conf%%%
Dans ce fichier sont définis les paramètres concernant la connexion d'un utilisateur au réseau.%%%
Fichier /etc/ppp/pptpd-options
logfile /var/log/ppp-pptp%%%
5:# ./configure --with-mysql-include-dir=/usr/include/mysql --with-mysql-lib-dir=/var/lib/mysql --with-mysql-dir=/var/lib/mysql --sysconfdir=/etc%%%
Ligne 1: Installation des fichiers de développement de mysql (nécessaires à la compilation de freeradius)%%%
Ligne 5: Préparation du fichier permettant la compilation, ici nous indiquons l'emplacement de mysql et des fichiers de connfiguration.%%%
!!Partie 4: Configuration de FreeRadius
Nous allons maintenant configurer FreeRadius pour fonctionner avec Mysql.%%%
Nous allons tout d'abord réaliser des tests en local en configurant le serveur pour accepter les connexions locales (le serveur fera office de NAS)%%%
Fichier /etc/raddb/clients.conf
Le secret doit être identique sur le fichier clients.conf à la clef du fichier clients%%%
Ce fichier contient les adresses des différents réseaux ou sont situés les NAS (les réseaux des différents noeuds) et les clefs de secret (nécessaires au cryptage).%%%
Fichier /etc/raddb/clients
Noms des clients locaux, ce fichier sera utile lors de l'installation de NAS.
Fichier /etc/raddb/realms
Fichier /etc/raddb/radiusd.conf
Fichier /etc/raddb/sql.conf
# Database table configuration%%%
Revenez à l'interface phpMyAdmin puis dans ''SQL'' cliquez sur ''Browse'' et allez chercher sur votre disque le fichier db_mysql.sql
La base de données mysql de freeradius est composée de 6 tables permettant de bien définir les droits de chaque utilisateur, de la même manière que pour des comptes d'utilisateurs classiques (novell, ldap, nis, ...), mais avec des droits spécifiques à radius.
Cette table permet de définir les utilisateurs et leur appartenance à un groupe.
Il sera en effet possible de définir des droits qui seront appliqués automatiquement à tous les utilisateurs d'un groupe, pour
simplifier les tâches d'administrations.
Nous avons maintenant un serveur configuré, nous allons faire quelques tests d'authentification en local.%%%
Finished request 0%%%
Pour configurer un poste sous client sous windows, sélectionnez "ajouter une nouvelle connexion", puis "Connexion au réseau d'entreprise"
Vous pouvez constater la présence d'une nouvelle connexion VPN (pptp) dans la fenêtre affichant les connexions réseau.
Si vous faites un ipconfig dans une console, vous pouvez constater qu'il y a 2 connexions.
NAS-Identifier = "ppp"%%%
Finished request 0%%%
Finished request 0%%%
La resistance 0 Ohm (entouré en rouge sur la photo au dessus du connecteur) doit suivant les différents commentaires être rétiré afin que les 2 antennes ne soit pas en paralelle pouvant causer des probleme d'impédance sur la carte ...
note : le lien affiché ci dessus comporte une erreur, il manque un tild (altgr+2) que le wiki ne prend pas en compte, la bonne adresse est : home.att.net/__tild__jjmorrissiey/JMorrissiey.html (Remplacer tild par le caractere) vous pouvez editer cette page de wiki pour copier la bonne adresse complete.
* Sensibiliser le public sur les avantages et inconvénients des technos sans-fil.
* MatérielWifi de l'asso
Le matériel wifi était prêté par [Infracom|http://online.infracom.fr]
- Netgear WG602v6 firm. : 3.2rc6
- Wap11 > DLink-DWL900+ firm. 2.56
- 2 x Wap11 v2.6 firm. : 1.07
Afin d'assurer une compatibilité maximum avec les appareils présents sur le lieu de jour,
Le Netgear était en mode Point d'accès normal et était relié au réseau filaire installé par Linux-Nantes.
Enfin le dernier point d'accès était relié à un switch à l'entrée. La carte SMC était sous Fedora Core 2 et rejoignais ce point d'accès, enfin, à l'aide d'un proxy arp, les paquets étaient transférés depuis l'interface filaire (eth0 > et wlan0 >
En principe, lorsqu'une couverture sans-fil d'un lieu doit être assurée. On tire des câbles entre les points d'accès, et on les relie tous à un switch, on assure ainsi une itinérance transparente pour le client.
Dans le cas du Scopitone, il s'agissait d'étendre des ilôts d'ordinateurs déjà réliés par un switch, afin qu'ils puissent se raccorder à la passerelle. Il fallait donc utiliser, soit le mode répéteur, soit le mode bridge. Du fait que nous avions un matériel très hétérogène, nous avons du mettre en place la solution énoncée plus haut, non sans peine.
Du fait que nous utilisions du matériel largement hétérogène (tant en marque qu'en modèle), il a été très difficile de faire fonctionner tous ces matériels entre eux. Pour une prochaine édition,il serait intéressant d'utiliser des WRT54g ou des WAP54g permettant ainsi de faire du WDS : pas de câbles à tirer, et un réseau totalement transparent pour le client.
__Cisco AIR-AP34xE2C external antenna modification__
La façon de trouver la différence entre la V1.1 et la V2 est de vérifier le numéro de série sur le dos.%%%
Vérifiez aussi votre version de matériel utilisant cette liaison à votre mise en déroute
Ce type de connecteur est présent sur les téléphones portable, matériels WIFI, carte Mini-PCI, Bluetooth, PDA, GPS, appareils de mesure, etc ...
__Démontage du 3 Com OFFICECONNECT 3CRWE52196 (802.11b) :__
L'Ap se démonte très simplement, il suffit de déclipser 2 clips et le tour est joué.
L'antenne peut se "décapuchonner" et laisse apparaitre un fil ...
On remarque la présence d'un connecteur que je n'arrive pas a clairement identifier (entouré en rouge)%%%
!!2) Des Fiches de Tests :
!!3) Le wifi sur le Zaurus :
__Simulateurs de différents points d'accès WiFi :__
*[L'AP PAC7100SG|http://tim069.free.fr//wireless/billion_pac7100sg/] (Firmware : CX82xxx_4.1.0.19_IB340a)
*[L'AP DI-514 Rev. C|http://tim069.free.fr/wireless/di514_revc/] (Firmware : 1.0)
*[L'AP DI-524|http://tim069.free.fr/wireless/di524/] (Firmware : 1.02)
*[L'AP DWL-G800AP|http://tim069.free.fr/wireless/dwlg800AP/emulator/] (Firmware : 1.0)
*[L'AP DWL-900AP+|http://tim069.free.fr/wireless/DWL900AP+/Emulator/h_wizard.html] (Firmware : 2.55)
*[Le Bridge DWL-810|http://tim069.free.fr/wireless/DWL810/emulator/] (Firmware : 1.6.0)
*[Le Bridge DWL-810+|http://tim069.free.fr//wireless/DWL810+/emulator/] (Firmware : 1.0)
*[Le Bridge DWL-G810|http://tim069.free.fr/wireless/dwlg810/emulator/] (Firmware : 2.0)
*[Le Bridge DWL-G800AP|http://tim069.free.fr/wireless/dwlg800AP/emulator/] (Firmware : 1.02)
*[L'AP DWL-700AP|http://tim069.free.fr//wireless/DWL-700AP/Emulator/] (Firmware : 1.0)
*[L'AP DWL-7000AP 802.11a/b|http://support.dlink.com/techtool/dwl7000ap/emulator/HomeWizard.html] (Firmware : 1.03)
*[L'AP DWL-1000AP+|http://tim069.free.fr/wireless/DWL1000AP+/emulator/] (Firmware : 1.0)
*[L'AP DWL-2000AP|http://tim069.free.fr/wireless/DWL-2000AP/emulator/] (Firmware : 1.0)
*[L'AP DI-614+|http://tim069.free.fr/wireless/DI-614+/] (Firmware : 3.20)
*[L'AP DWL-2100AP|http://tim069.free.fr/wireless/dwl2100ap/emulator/] (Firmware : 1.0)
*[L'AP DI-714P+|http://tim069.free.fr/wireless/di714P+/Emulator/] (Firmware : 1.31)
*[L'AP DI-774|http://tim069.free.fr/wireless/di774/Emulator/] (Firmware : 1.25)
*[L'AP DI-784|http://tim069.free.fr/wireless/di784/Emulator/] (Firmware : 2.27)
*[L'AP DI-624m| http://tim069.free.fr/wireless/di624m/] (Firmware : 1.0)
*[L'AP - Switch - Routeur DI-624 Rev B|http://tim069.free.fr/wireless/DI-624] (Firmware : 1.29)
*[L'AP - Switch - Routeur DI-624 Rev C|http://tim069.free.fr/wireless/di624_revc/emulator/] (Firmware : 2.37)
*[L'AP BEFW11S4|http://www.planet-wifi.com/Interfaces/Linksys/BEFW11S4] (Firmware : 1.45)
*[L'AP WRT54G|http://www.planet-wifi.com/Interfaces/Linksys/WRT54G] (Firmware : 1.42.2)
*[L'AP WRT54G|http://tim069.free.fr//wireless/wrt54g-satori/] (Firmware : Satori-4.0 v2.07.1.7sv)
*[L'AP WRT54G|http://tim069.free.fr//wireless/wrt54g-wifibox/] (Firmware : Wifi-box.net Release Version:
*[L'AP WRT54G|http://perso.wanadoo.fr/blocusius/wrt54g_Alchemy_6rc/] (Firmware : Alchemy_6rc)
*[L'AP WRT54G|http://f.fainelli.free.fr/openwrt/webif-fr/] (Firmware : OpenWrt Whiterussian RC5)
*[L'AP - Routeur - Switch (modem intégré) WAG54G|http://serverperso.com/wifi/interfaces/wag54g/] (Firmware : 1.01.6)
*[L'AP - Routeur - Switch (modem intégré) WAG54G|http://serverperso.com/wifi/interfaces/wag54g_1.01.7/] (Firmware : 1.01.7)
*[L'AP - Routeur - Switch (modem intégré) WAG54G|http://serverperso.com/wifi/interfaces/wag54g_1.02.6/] (Firmware : 1.02.6)
*[L'AP - Routeur - Switch (modem intégré) WAG54G|http://tim069.free.fr/wireless/WAG54G/FW.1.02.9/] (Firmware : 1.02.9)
*[L'AP - Routeur - Switch WRT54GS|http://ftp.alphacore.net/wifi/simulateurs/wrt54gs-fr/] (Firmware : v2.07.2.fr)
*[L'AP - Routeur - Switch Dual Band WRT55AG|http://openwrt.org/downloads/wrt55ag_v2-deconstruction/factory_web_output/] (Firmware : 1.10)
*[L'AP DG834G|http://www.planet-wifi.com/Interfaces/Netgear/DG834G] (Firmware : 1.03.00)
*[L'AP WG602v2|http://ftp.alphacore.net/wifi/simulateurs/netgear_wg602v2/] (Firmware : 3.2rc6)
*[L'AP WG302|http://interface.netgear-forum.com/WG302/start.htm] (Firmware : 2.0.3)
*[L'AP AirLive WL5434ARM (Norme 802.11g)|http://www.planet-wifi.com/Interfaces/Ovislink/Airlive-WL5434ARM] (Via le site Planet-wifi)
*[L'AP CPWBS154 Modem/routeur (Norme 802.11g)|http://www.planet-wifi.com/Interfaces/Philips/CPWBS154] (Via le site Planet-wifi)
*[L'AP Santis 50|http://www.planet-wifi.com/Interfaces/Sweex/LC000060%2080211g] (Firmware :
*[L'AP LC000060 (Norme 802.11g)|http://www.planet-wifi.com/Interfaces/Sweex/LC000060%2080211g] (Via le site [Planet WiFi|http://www.planet-wifi.com/Interfaces.cfm])
*[L'AP TEW-431BRP|http://www.planet-wifi.com/Interfaces/Trendnet/TEW-431BRP] (Firmware : Version 1.0 Release 06)
Le site [Planet WiFi|http://www.planet-wifi.com/Interfaces.cfm] propose une série d'une 15ene de simulateurs,%%% si vous êtes en possession d'un routeur ou d'un AP n'ont repris dans la liste,%%% n'hésitez pas à prendre contact avec eux pour qu'ils l'intègrent.
Art 462-6 : usage de documents informatises falsifies%%%
Art 462-9 : confiscation des matériels%%%
- Recherche d'informations afin de contourner les mécanismes de sécurité (parcours d'une hiérarchie système ou utilisateur).%%%
"Lorsque il sera résulte (de l'intrusion ou du maintien non autorise dans le système) soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, l'emprisonnement sera de 2 mois à 2 ans et l'amende de 10 000 F à 100 000 F."
Écriture de programmes , stockage de données ou modification de paramètres système ou réseau.
- L'entrave, consiste à ralentir ou paralyser un système informatique. Saturer un système de fichiers volontairement. Outrepasser la convention d'utilisation du système. - Fausser, c'est ce qui fait produire au système un résultat autre que celui attendu. C'est le cas par exemple de virus, de bombes logiques, de fausses commandes ...
"Quiconque aura, intentionnellement et au mépris des droits d'autrui, directement ou indirectement introduit des données dans un système de traitement automatise ou supprimé ou modifié les données qu'il contient, ou leur mode de traitement ou de transmission, sera puni d'un emprisonnement de 3 mois à 3 ans et d'une amende de 2000 F à 500 000 F ou de l'une de ces 2 peines."
Il s'agit de l'introduction, de la modification ou de la suppression de données.
Tentative d'écriture, de modification ou de suppression de données, de fichiers, ou de répertoires dans un autre environnement que le votre...
"Quiconque aura procède à la falsification de documents informatisés, quelle que soit leur forme, de nature à causer un préjudice à autrui, sera puni d'un emprisonnement d'un an à 5 ans et d'une amende de 20 000 F à 2 000 000 F."
__6. Art 462-6 : usage de documents informatisés falsifies__
__9. Art 462-9 : confiscation des matériels__
"Le tribunal pourra prononcer la confiscation des matériels appartenant au condamné et ayant servi à commettre les infractions prévues au présent chapitre."
!!Paramètres humains et techniques à prendre en compte lors de l'établissement d'une liaison wifi
Les autres équipes étaient très variées, il y avait une équipe d'étudiants de l'école Télécom Paris (WaveStorm), une équipe composée que de filles (Fenda), et une autre équipe d'étudiant (Mcshaut).
Aerosol est un sniffeur de reseau sans fil prenant en charge certaines cartes PCMCIA, les modules USB hybride avec chipset PRISM2
!!!Carte Wifi PCMCIA distribuée pour les Freebox
__Descriptif :__ (2 diodes) Cette version de la carte Wifi fournie par Free est une carte PCMCIA 802.11b avec un [chipset Prism 2|CartePCMCIAPrism2]
!Free propose des drivers officiels
(Ceux de la ZyAIR B-100 si on regarde le fichier WLPCNDS.INF)%%%
* [Driver Free|http://install.free.fr/data/drivers_freebox/Wi-Fi/first_generation.rar]
Le [Manuel de la Zyxel B-100|http://www.myotis.ch/exoops/modules/mydownloads/cache/files/zyxel_b-100_b-101.pdf] pour les néophytes
!Free propose des drivers officiels
* [Driver Free|http://install.free.fr/data/drivers_freebox/Wi-Fi/second_generation.rar] (testé sur XP SP2, marche parfaitement malgrè l'alerte de sécurité à l'installation)
L'installateur du Pack n'installe pas correctement le driver, il faut installer manuellement le driver en indiquant le fichier netgtks.inf situé dans %PROGRAMFILES%\B54 Wireless Monitor.
Copier le fichier [Netgtks.inf|http://tim069.free.fr/wireless/Freebox/Netgtks.inf] modifié dans %PROGRAMFILES%\B54 wireless monitor\%%%
Insérer votre carte, à la demande du driver, sélectionner le fichier PROGRAMFILES%\B54 wireless monitor\Netgtks.inf
__[Driver précompilé avec la modification|http://tim069.free.fr/wireless/Freebox/Driver_Free_3_generation.zip]__%%%
Drivers et procédure exposés ici : [Drivers WPCB-152G|http://r0ro.free.fr/tutoriaux/configwififreebox.php#WPCB115G]
Il s'agit de la dernière carte wifi envoyée par free.
Drivers et procédure exposés ici : [Drivers WPCR-158G|http://r0ro.free.fr/tutoriaux/configwififreebox.php#WPCR158G]
!Configuration :
La configuration se fait par l'intermédiaire de la page http://fbxcfg.free.fr/wifi.html
Le choix du Canal correspond à la [Fréquence|FréquencesDuWifi] de transmission sur laquelle la carte va communiquer avec les autres éléments du réseau Wifi.
[Cartes Wifi Compatible Freebox|http://r0ro.free.fr/tutoriaux/listecartesfreebox.php]
*Ma connexion Wifi coupe tous les 5 secondes, que faire ?%%%
Il suffit de changer de canal, il semblerait que le 4 pose moins de problèmes -> Surtout il ne faut que le canal utilisé chevauche un autre canal voisin (1 et 2 = interference, 1 et 3 = Good!!)
Des apareils fonctionnant proche de la Freebox peuvent perturber le signal Wifi (téléphone ss fil, amplificateur d'antenne télé, antenne mobile, micro-onde, télévision ...)
*Vous pouvez retrouver le détail des tests de r0ro ici : [Tests de r0ro|http://r0ro.free.fr/tutoriaux/configwififreebox.php]
*[Ajout d'antenne à la carte Wifi de la FreeBox|http://www.freenews.fr/gallery/Wifi_Antenne]
!! Comment configurer un bridge sans-fil
Monter un pont réseau peut être pratique pour étendre un réseau filaire entre deux bâtiments par exemple.%%%
Il est parfois possible d'associer les clients sans-fil à ce pont réseau, nous verrons ceci avec le système Wireless Distribution System.
Un point d'accès se contente de transformer les trames Ethernet filaires (802.3) en trames Ethernet Sans-Fil (802.11x).%%%
sauf que cette fois-ci il y a un pont réseau directement crée par le point d'accès entre son interface filaire, et son interface sans-fil.
! Pont réseau sans-fil simple
Afin d'établir le pont réseau sans-fil, vous devez connaître la portée de vos point d'accès en mode normal.%%%
Pour ce faire, placez les point d'accès où vous voulez établir le pont, puis à l'aide d'une carte réseau sans-fil et%%%
d'un ordinateur, ou si les points d'accès affichent les ssid alentours, vérifiez la qualité de votre sigal :
Les clients sans-fil ne peuvent pas se connecter au bridge, car ils le voient avec un SSID nul "",%%%
! Configuration d'un bridge avec association des clients sans-fil.
Il peut être difficile de comprendre en quoi c'est utile, mais cela permet de regrouper deux matériels en un seul :%%%
Ce système permet donc d'étendre le réseau filaire tout en préservant l'association des clients sans-fil.
La configuration reste la même que détaillée dans la 1ère partie,%%%
*Installer un réseau sans fil.
du réseau sans fil pour le festival.
Cette page s’adresse aux personnes intéressées pour créer un nœud du réseau WIFI métropolitain Nantais, c'est-à-dire participer à la création d’un grand réseau privé gratuit en WIFI.
La démarche du site de Nantes-Wireless, est de permettre à chacun de comprendre comment monter soit même un réseau et comment le relier au réseau métropolitain WIFI nantais. Sur cette page sont présentés 3 types de logiciel:
- les logiciels tiers d'authentification: [Nocatauth|Nocatauth], [Authpf|Authpf], [FreeRADIUS|Freeradius]
*[logiciels tiers d'authentification|LogicielsAuthentification]
*leur utilité dans le réseau WIFI métropolitain nantais.
FreeRADIUS est un serveur d'authentification Radius.
L’authentification par RADIUS a pour but d’autoriser la présence d’un utilisateur sur le réseau.
Radius est un protocole qui permet cette authentification de manière sécurisée.
Sur ce schéma, le serveur RADIUS est utilisé pour sécuriser l’accès d’un point d’accès WIFI.
- traffic shaping (limitation de bande passante)
!!Configuration requise
L'utilisation de VTun implique un routeur sous GNU/Linux ou FreeBSD avec IP fixe sur chaque site.
486DX2/66/16Mb suffit pour quelques tunnels sans compression ni encryption.
P200/64Mb suffit pour plusieurs tunnels moyen débit avec compression et encryption sans problèmes.
VTun utilise le 'Challenge Based Authentication' (CHAP, le même type d'authentification que la plupart des fournisseurs d'accès.) Les mots de passe sont encryptés avant envoi. Le module d'encryption utilise MD5 pour générer des clefs de 128 bits ainsi que l'algorithme Blowfish pour l'encryption des données transferées.
L'utilisateur se connecte via un point d'accès, et désire accéder à des ressources telles que des ordinateurs qui sont déjà reliés au point d'accès directement, ou bien à un autre réseau. Pour se faire il doit d'abord s'authentifier au tiers d'authentification. Ce dernier vérifie quels sont les droits que l'utilisateur possède et autorise l'utilisateur à accéder à certains services ou à certains réseaux suivant les droits qu'il possède.
!!Leur utilité pour les réseaux WIFI
Les points d'accès WIFI posent un problème: ils permettent d'accéder à Internet ou à un ensemble d'ordinateurs reliés entre eux par le point d'accès.
Les tiers d'authentification sont une barrière qui garantissent que seul un utilisateur qui en a l'autorisation accédera à une ressource donnée.
Pour créer une connexion sécurisée entre deux machines à travers un réseau public on utilise un réseau privé virtuel VPN (Virtual Private Network). Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (ex: Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données.
En anglais tunneling signifie encapsulation, d'où l'utilisation impropre parfois du terme "tunnelisation"). Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling), c'est-à-dire un protocole permettant aux données passant d'une extrémité du VPN à l'autre d'être sécurisées par des algorithmes de cryptographie.
!!L'intérêt des VPN pour les réseaux WIFI
La contrainte principale est la portée du WIFI qui est limitée à une dizaine voir une centaine de mètres. Il faudrait donc énormément de relais pour relier par exemple Nantes et Lyon.
L'idée est d'utiliser l'infrastructure réseau qui est financièrement la plus avantageuse pour raccorder des réseaux éloignés: Internet. Grâce à VPN, on peut créer des réseaux privées à travers des réseaux publics. Le nouveau réseau pourra ainsi être constitué de différents types de support: à la fois WIFI et Internet. Mais il gardera les caractéristiques d'un réseau privé.
!!Comment l'utiliser pour les réseaux WIFI?
Pour définir les routes entre deux points du réseau, les noeuds utilisent des protocoles de routage qui déterminent quelle route choisir.
*le protocole BGP qui route les paquets entre deux réseaux métropolitains WIFI, par exemple entre Nantes et Lyon.
!!Types de sécurité disponibles avec les connexions sans-fils :
!Sans serveur d'authentification
Oui (définie par l'utilisateur) |
!Avec serveur d'authentification RADIUS
Oui (définie par l'utilisateur) |
* Debriefing sur le ScopiTone
!!Debriefing sur le ScopiTone :
- la réalisation d'une liaison wifi entre les chantiers Dubigeon et la Trocardière
Cette liaison a montré la fiabilité et la faisabilité technique d'une telle installation. L'expérience n'a pas pu être poursuivie pour plusieurs raisons. La première est que nous n'aurions pas pu nous servir de la liaison durant le festival car nous devions déclarer à l'ART la liaison, chose qui n'a pas été faite. D'autre part, les machines de la Trocardière souhaitant accéder à l'internet, il fallait une autorisation du Centre de Ressources Informatiques de l'Université de Nantes. Cette autorisation était obtenue sous condition que la liaison sans-fil soit déclarée à l'ART.
Au final, la liaison a été purement expérimentale et constituait une liaison privée (donc légale) car elle a été établie sur la fin de l'évènement. D'autre part elle n'a pas servi à faire transiter des données.
Nous remercions David Prochasson pour l'article qu'il a écrit pour Presse Océan à propos de cette liaison sans-fil expérimentale. Voir l'article :
Le stand de Nantes-Wireless a suscité un intérêt parmi quelques personnes puisqu'elles se sont renseignées sur les technologies sans-fil et ont posé des questions aux membres présents sur ce stand. L'antenne qui était exposée a suscité de l'intérêt et a permis de discuter de la liaison sans-fil réalisée.
- il n'y avait pas d'affiche ou de pancartes indiquant un évènement particulier à la MHT
* de 6 fixations pour paraboles type SD
Il apparaît nécessaire de faire davantage d'ateliers ou les personnes intéressées peuvent venir discuter et apprendre à fabriquer des antennes, configurer un appaeil sans-fil, sécuriser leur réseau ...
La période de fin août semble être propice pour ce genre d'activité.
Nous avons évoqué l'appel à projet de la DATAR (voir le forum [ici|http://nantes-wireless.org/pages/forum/viewtopic.php?t=2144]), et nous comptons en discuter avec la fédération [France Wireless|http://www.wireless-fr.org] afin d'une part de les informer de cet appel à projet, et afin de pourquoi pas, monter un dossier national en vue de répondre à cet appel à projet. La date limite pour les 2èmes sessions est fixée 30 septembre. Il paraît donc difficile de rédiger un dossier pour cette date, compte tenu du fait que la fédération france wireless a changé de président et que la période estivale ne permet pas de réunir un maximum de personnes.
L'appel à projet Megalis, qui est un appel à projet similaire à celui de la DATAR, également axé sur le multimédia et les réseaux haut-débit, reste pour le moment en suspend, sans pour autant être délaissé. Les communautés de Brest, Le Mans, Angers et Nantes continueront probablement de collaborer sur ce dossier afin de remettre pour le 15 mai un dossier.
Les associations membres de la Fédération France Wireless disposent d'une "trêve" de 2 ans pour réaliser toutes sortes d'expérimentations sans-fil en extérieur (terme mal défini) en respectant la PIRE de 100mW.
C'est pourquoi, il serait également utile de réaliser une sorte de distribution linux capable d'offrir au néophyte la possibilité de créer un noeud sans soucis de configuration, et sans difficultés. Le but étant d'avoir une solution libre et évolutive clés en main pour toute personne qui souhaite s'investir.
Nantes-wireless est une association de loi 1901 qui a pour but la promotion des réseaux sans-fil communautaires dans la région de Nantes, dans le respect de la législation et de la réglementation en vigueur.
*Notre projet est de réunir les utilisateurs de matériel WiFi afin de développer ensemble un réseau communautaire, indépendant, basé sur le volontariat et le bénévolat.
!J'ai envie d'avoir Internet sans fil haut débit gratuit moi aussi, comment je dois faire ?
*Les médias parlent de notre réseau comme un Internet sans fil haut débit gratuit, malheureusement il y a confusion. Le terme Internet est à remplacer par le terme Intranet.
*Le concept du réseau sans fil communautaire vient directement des Etats Unis, de Seattle plus précisement. %%% Le concept de réseau sans fil communautaire s'est très vite répendu dans le monde (voir liste des communautés).
*WUG signifie "Wireless Users Group" ou groupe d'utilisateurs de materiel wireless. C'est un peu le même principe que les LUG (Linux User Group)
!Que signifie "Wireless"
*Pour les personnes non anglophones "wireless" signifie sans fil en français.
**"Wire" = Fil
Enfin être membre d'une association permet de rencontrer des personnes qui partagent avant tout l'idée d'un réseau sans-fil, mais pas uniquement. Les membres ne sont pas tous des informaticiens ou des techniciens télécoms, il y aussi des étudiants, des passionés, et des intéressés :)
*France wireless est la fédération française regroupant de nombreuses communautés wireless en France. %%% Les membres de toutes les communautés de France wireless ont accès au réseau de toutes les communautés françaises. %%% Ainsi les adhérents de Nantes-Wireless ont des droits d'accès au réseau sans fil de Lyon, Bordeaux, Paris, Metz ....
Pour des raisons de sécurité, seul les membres de l'association pourront avoir un identifiant de connexion.
Tout à fait, le but est de développer un réseau sans fil à l'échelle de Nantes (WWAN: Wireless Wide Area Network)
!#[|ARCEP]Que signifie ARCEP ?
C'est en particulier l'ARCEP, qui, en France, définit les règles d'utilisation des réseaux numériques sans fil.
!#[|ART]Que signifie ART ?
!L'utilisation des réseaux sans fil en extérieur est-elle légale ?
__Attention :__ le terme EXTERIEUR est mal défini dans les textes de l'ARCEP, et reste nébuleux, l'extérieur peut être considéré comme votre jardin ou votre rue, soyez donc attentifs.
* PAR signifie : __P__uissance __A__pparente __R__ayonnée = puissance ^ (gain en dB/10)
* PIRE signifie : __P__uissance __I__sotrope __R__ayonnée __E__quivalente . C'est à peu de choses près, la puissance qui sort d'une antenne.
C'est très difficile de répondre à cette question, il faut faire un calcul par rapport à la puissance de sortie de votre matériel, au gainn de l'antenne, à la perte dans le pigtail ... D'une manière générale, vous dépassez probablement la limite légale des 100 mW en rajoutant une antenne dont le gain est supérieur à 8 dB.
* Faire du filtrage par adresses physiques (adresses MAC)
* Installer un serveur RADIUS pour l'authentification des clients
* Faire une authentification à base de certificats, avec cryptage des requêtes d'authentification : méthode EAP/TTLS
Enfin, comme toute politique de sécurité à appliquer, pensez que c'est la formation et la prise de conscience sur les utilisateurs qui font de votre réseau qu'il est sécurisé ou non. Vous aurez beau mettre en place tous les mécanismes imaginables, une personne négligeante ou mal intentionée peut réduire à néant vos efforts.
!Peut-on contourner une authentification RADIUS ?
En principe non. Les points d'accès, s'ils ne peuvent pas interroger les serveurs RADIUS primaires et secondaires rejettent toutes les requêtes d'authentification. Cependant, on peut imaginer qu'un point d'accès bug, et vous ouvre la porte vers un serveur RADIUS, si en plus celui-ci est éteint et que le firewall est mal configuré, vous faîtes ce que vous voulez.
Cependant tout administrateur réseau capable de configurer un serveur RADIUS ne laissera que les ports 1812/udp et 1813/udp ouverts sur l'interface exposée ;)
!Peut-on changer l'adresse MAC de sa carte pour contourner un filtrage par adresses MAC ?
Oui, c'est possible. Sous les systèmes GNU/Linux et BSD, il suffit de faire :
>ifconfig ethX hw ether adresse_mac
!Est-ce qu'un pont réseau sans-fil (bridge) doit être sécurisé ?
Bien évidemment que oui ! Activez le WEP/WPA si vous le pouvez et restreignez par un pont filtrant les adresses MAC qui sont autorisées à passer le pont réseau.
Tous les SE peuvent faire office de serveur RADIUS avec une préférence pour Linux et Windows parce que c'est bien documenté facile. Et si vous êtes un paranoïaque de la sécurité, et que vous aimez rencontrer des difficultés, dans ce cas,OpenBSD est faite pour vous ;)
* Le point d'accès permet d'étendre un réseau filaire Ethernet, à un réseau sans-fil Wi-Fi. Le point d'accès possède 2 interfaces : une en RJ45 (Ethernet), une en Wifi
* Le routeur/point d'accès possède en général 3 interfaces, une pour partager une connexion internet, une autre pour se connecter à un réseau filaire existant, une dernière pour se connecter à un réseau sans-fil existant.
* Le routeur/modem point d'accès intègre un modem adsl, ce qui fait qu'à la sortie, on retrouve 2 interfaces : une filaire, et une Wifi.
Soit vous les reliez tous par un câble ethernet, ainsi vous permettez à vos clients de profiter pleinement de l'itinérance (ou roaming).
La première chose à vérifier est si l'adresse IP du Point d'Accès que vous utilisez est la bonne.%%%
Il faut vérifier que votre PC ai une adresse IP local dans la même classe d'adresse que celle de votre AP ... (souvent
faites un simple reset sur votre AP et vous retournez la configuration de base de votre AP ...
!Je viens de planter mon WAP54G apres mis à jour du firmware v xx.x par celui-ci : xxx . La led rouge ack reste allumée, et pas moyen de rentrer sur l'interface.__
tftp> put nom_firmware.bin
Dans certains cas, il est possible de forcer l'utilisation d'une antenne pour l'émission et la réception, par exemple avec la [commande wl|http://www.seattlewireless.net/LinksysWrt54g#head-6a4e964272fc4dc1188d438eb667564a17b29bb7] disponible sur OpenWRT ou FreiFunk, afin de brancher une antenne sur l'un des deux connecteurs.
Pour faire un relai ou couvrir deux zones distinctes, il existe deux types de solutions fiables mais un peu plus coûteuses :
Avant de voir si la question à votre problème à sa réponse ici, mettez à jour votre système d'exploitation et les pilotes de votre carte wifi.
Le mieux est de poster un message sur le forum avec une description aussi précise que possible du problème. Parfois, une simple modification (même sans rapport) peut conduire à rendre votre système d'exploitation instable.
Si les patchs ne résolvent pas votre problème, mettez à jour les pilotes de votre carte wifi, en général le constructeur a prévu de fournir un support WPA qui vient patcher windows en même temps.
Affichez les propriétés de votre carte réseau sans-fil dans le Panneau de configuration -> Connexions Réseau.
Cliquez ensuite sur Configuration des réseaux sans-fils.
Puis sélectionnez le type d'authentification de votre réseau :
!Lorsque je veux me connecter à un réseau sans-fil protégé en WPA, j'entre la clé et j'obtiens l'erreur suivante :
!Comment configure-t-on le WPA avec une carte Dlink ?
La procédure est simple. Empêchez Windows de gérer votre réseau sans-fil. Puis ouvrez le client Dlink. Vous devriez voir votre réseau sans-fil apparaître ainsi :
Cliquez sur Config, rentrez la __passphrase__ qui est la même que vous avez mis dans le point d'accès :
Nantes-wireless se propose d'intervenir, dans ce projet, sur l'étude et la réalisation d'une infrastructure réseau sans-fil. Cette infrastructure est supposée expérimentale, dans le sens où elle sert à démontrer la faisabilité d'une technologie et d'un modèle. Elle doit néanmoins être fonctionnelle, dans le cadre d'une réponse conjointe entre Nantes-wireless et d'autres associations et partenaires publics, afin de permettre l'expérimentation d'autres aspects, et notamment la démonstration d'usages nouveaux sur le réseau. Dans le cas où le projet proposé serait retenu, nous aurions 12 à 18 mois pour commencer la construction de cette infrastructure.
Nous avons donc l'opportunité de proposer --et nous faire financer, au moins en partie-- une infrastructure réseau expérimentale à l'échelle de la métropole nantaise. De plus, en cas d'une réponse conjointe entre plusieurs associations et des partenaires publics, il est possible que nous puissions intégrer cette infrastructure dans un projet ambitieux, incluant des usages et des applications nouveaux, tirant bénéfice d'un réseau haut-débit performant, avec des modes de fonctionnement alternatifs aux modèles habituels des réseaux commerciaux, mettant l'accent sur la liberté d'accéder au réseau et de l'étendre, sur le partage des ressources et des connaissances, indispensable pour que chacun puisse s'approprier les technologies mises en oeuvre, un réseau construit pour et par ses utilisateurs, créant et renforçant, par là même, des liens humains dans cette communauté ouverte d'utilisateurs.
Nous avons également l'opportunité de construire une infrastructure basée principalement, voire entièrement, sur du réseau sans fil. Ce projet nous donne également l'occasion de participer à un consortium faisant intervenir des collectivités locales --qui nous aideront peut-être à installer des points d'accès expérimentaux dans des lieux publics bien exposés. Enfin, il nous donne un cadre officiel et favorable pour réaliser le projet de l'association tout en jetant des ponts vers les autres associations du [CollecTIC|http://www.5sur5.net/collectic/wikini/wakka.php?wiki=CollecTIC] pour promouvoir les Technologies de l'Information et de la Communication et leurs usages, au service de tous les citoyens de l'agglomération nantaise.
L'appel à projet étant destiné principalement à des collectivités territoriales (commune, communauté de communes/communauté urbaine/district, canton, département, région), il semble nécessaire de faire intervenir une communauté territoriale comme partenaire du projet. L'expérience de Nantes-wireless ou du CollecTIC étant principalement l'agglomération nantaise, il a semblé tout naturel de considérer, dans un premier temps, un projet à l'échelle de l'agglomération nantaise. Des contacts ont ainsi été pris avec Nantes métropole (Communauté Urbaine de Nantes). Un des aspects de l'appel à projets étant d'apporter une couverture haut-débit là où il n'y en a pas, afin de réduire la fracture numérique, et la métropole nantaise étant assez bien couverte par les offres commerciales en haut débit, il est donc nécessaire, afin de répondre aux demandes de l'appel à projet, d'étendre la zone géographique des expérimentations à des zones non desservies en haut débit, potentiellement en milieu non urbain. Il est apparu, au cours des discussions, qu'une organisation en phases, d'abord urbaine, puis des extensions à des zones rurales permettrait de répondre favorablement à ce point. Il faudra donc envisager des moyens de relier, si possible en utilisant des réseaux sans fil, des zones enclavées, distantes de quelques kilomètres à quelques dizaines de kilomètres. Reste que l'abscence d'offres commerciales pour l'accès à Internet en haut débit n'est pas le seul facteur de fracture numérique; il reste des facteurs économiques, sociaux, liés au manque d'information ou de formation, auxquels il faudra trouver une réponse (d'autres associations du CollecTIC ont déjà des pistes).
L'accès Internet fait partie du titre et de l'objet de l'appel à projet. Il semble donc nécessaire de proposer un projet incluant l'accès à l'Internet. Cependant, il est tout à fait possible d'envisager un réseau autonome, indépendant et non tributaire d'un accès à l'Internet, et de n'envisager le raccordement de ce réseau à l'Internet que de manière secondaire, en particulier si le trafic sur le réseau est principalement local. Le raccordement d'un réseau à l'Internet pose cependant de nombreux problèmes :
* la réglementation : même si celle-ci reste assez souple, le raccordement à l'Internet nous engage sur la licicité des transactions et du trafic entre le réseau et (le reste de) l'Internet, en cas d'une enquête de police ou judiciaire,
* les antennes directionnelles ont un gain de 10 à 13 dB, avec atténuation éventuelle, afin d'être dans les limites autorisées de 100 mW de PIRE,
* le réseau doit être suffisament dense pour résister aux pannes locales et pouvoir répartir la charge sur des chemins différents,
* le réseau ne peut pas être trop dense à cause de problèmes d'interférences (3 ou 4 canaux maximum utilisables simultanément au même endroit) et de coût, de plus les configurations de terrain peuvent rendre certaines liaisons difficiles à établir (à cause d'obstacles),
* les noeuds sont banalisés (pour faciliter la configuration, la documentation et l'appropriation), composés par exemple de plusieurs routeurs WRT54g (je reprend l'idée de Ritalman, à laquelle j'adhère aussi) reliés entre eux (voir [tout ce qu'on peut faire avec un WRT54g, sur le wiki de Seattle-wireless| http://www.seattlewireless.net/index.cgi/LinksysWrt54g#head-e79223cc21b414c6c6f873ad73081f83dcf4e053]), le wrt54g (87.99 euros TTC, chez [materiel.net|http://www.materiel.net/details_WRT54G.html]) semblant revenir moins cher qu'un pont (ex. [wet54g|http://www.materiel.net/details_WET54G.html], 118.89 euros) ou un point d'accès (ex. [wap54g|http://www.materiel.net/details_WAP54G.html], 93 euros),
* des dispositifs d'autoconfiguration des noeuds (configuration automatique de chaque noeud en fonction de son emplacement dans le réseau), pourrait être envisagée, en particulier, on pourrait envisager un mécanisme d'allocation/attribution automatique
** l'authentification, en particulier pour l'établissement d'une liaison entre un nouvel ordinateur et le réseau (pareil : obligatoire ? optionnel ?),
** le support d'une archive distribuée de programmes et ressources pour les noeuds du réseau (si on part sur une solution à base de wrt54g, ces machines n'ont pas beaucoup d'espace de stockage interne (4 Mo. flash, cf. [wrt54g on Seattle-wireless|http://www.seattlewireless.net/index.cgi/LinksysWrt54g#head-e79223cc21b414c6c6f873ad73081f83dcf4e053]), en revanche, il est possible (d'après des tests décrits dans le même document) de monter des arborescences sur le wrt54g en utilisant NFS (quelqu'un a déjà testé ça ? Sur du wifi ?), ce qui permettrait d'avoir un plus vaste choix de programmes sur les noeuds, et donc d'avoir des noeuds "plus intelligents").
!!Configuration des noeuds
** relai ou noeud, 3 antennes : 384 euros (3 wrt54g, 3 antennes SD 15, 3 pigtails), sans fixation ni pied ni cable ethernet,
** relai ou noeud, 2 antennes : 256 euros (2 wrt54g, 2 antennes SD 15, 2 pigtails), sans fixation ni pied ni cable ethernet,
** noeud terminal, 1 antenne : 128 euros (1 wrt54g, 1 antenne SD 15, 1 pigtail), sans fixation ni pied ni cable ethernet.
Il faudra étudier s'il est possible de coupler plusieurs antennes sur la même connexion 2.4 GHz, tout en conservant des performances correctes, afin d'envisager des relais à antennes multiples, utilisant un seul wrt54g. De même, nous pourrions étudier des dispositions de plusieurs antennes, dans l'angle d'ouverture d'une même antenne directionnelle :
[] ([source|])
Ca donne une configuration assez onéreuse (un panneau 12V, 50W revenant à 350 euros environ).
Le wrt54g fonctionne avec une version modifiée et adaptée du système Linux. Il dispose d'un processeur Mips (les programmes doivent donc être spécifiquement compilés pour ce processeur).
* firewall
Et tous les outils nécessaires à sont administration : ssh, et interface web. Le wrt54g sera une version à base de firmwares OpenWRT. Les WRT54G auront un firmware qui peut être généré depuis une page web (comme ici : http://www.paris-sansfil.fr/~~thus/mbk/mbk.php). De plus ils intégreront un petit programme qui permettra de vérifier que le WRT54G dispose de la dernière version du firmware. Sinon le routeur ira télécharger le dernier firmware depuis un partage NFS ou un serveur web et l'installera.
Ya un ptit truc qui me chagrine ... je ne pense pa objectivement qu'il soit possible de faire des liaison de 1 km avec ou sans antenne sans dépasser les 100 mW, tout en ayant un qualité de connexion suffisante ... %%%
Ce qui est largement insuffisant pour garentir une connexion stable et a un débit acceptable ...
Je pense qu'il faut, pour ce type de liaison, une antenne de toute façon (par exemple une parabole de petite taille, genre SD15). Ensuite, on peut jouer sur la diminution de la puissance d'émission de l'interface, mais en conservant la même sensibilité en réception (il faudra peut-être chercher la limite au niveau du rapport signal/bruit; c'est sûr que si on diminue la puissance du signal émis et qu'on augmente la sensibilité (par un gain d'antenne en réception), on va amplifier du bruit et baisser le rapport signal bruit). L'antenne sert alors à donner de la directivité au signal HF. Il faudra faire des tests (bon, ce que j'ai fait perso, j'arrivais à transmettre des trucs avec un niveau de signal à des niveaux de -78 dB et inférieur, mais il faudrait faire plus de tests). Il faudrait essayer avec une antenne très directionnelle avec donc un bon gain, avec une puissance d'émission très faible (genre 2 mW). Ca serait un bon thème de défi/test d'essayer de faire la distance maxi sans dépasser les 100 mW de PIRE. Peut-être que les 1 Km c'est un peu optimiste, mais on avait à peu près ça pour les tests du scopitone et on ne devait pas dépasser tant que ça les 100 mW.
Avec 100mW de PIRE est un debit d'environ 5Mbps reel, on peut faire plus de 10km sans difficultees (a vue evidement)
Je confirme qu'il est possible de faire des liaisons de 3 km avec le matériel disponible sur le marché tout en respectant les 100mw. En effet lors de test réalisé avec deux AP1000+ entre deux villages espacés d'environ 3km (sans obstacle entre les deux) nous avons obtenu la connection sans difficulté tout en respectant les 100mw.
Avec ces conditions nous avons réalisé une connection plus que convenable. nous avons également baissé les ap a 3 db ce qui n'a pas empéché d'etablir la connection et l'échange de gros fichier.
Par contre il serait intéréssant de verifier la puissance réel des AP car peut on etre sure de la puissance indiqué par le constructeur ?
Prospere : [Liste des AP présents sur la Place du commerce|WiFiSurLaPlaceDuCommerce]
* Aspect financier et commercial
* [texte complet de l'appel à projet|http://www.datar.gouv.fr/Datar_Site/DATAR_Actu.nsf/5d6f4fe925592aeec1256591003f98f8/b028987660f49a12c1256e9f00518292/$FILE/APP_TechAlternatives.pdf]
Si Nantes-wireless semble avoir un rôle central et assez bien défini pour cet appel à projets, il est apparu comme important que d'autres associations soient mobilisées. En premier lieu, le [CollecTIC|http://www.5sur5.net/collectic/wikini/wakka.php?wiki=CollecTIC], qui est un groupement d'associations sur Nantes, dont le thème fédérateur est la promotion des nouvelles technologies et leur accès par tous, sur l'agglomération nantaise.
Parmi les associations du CollecTIC, [Linux-Nantes|http://www.linux-nantes.fr.eu.org] pourrait avoir un rôle important, en participant au développement et à l'administration de l'infrastructure réseau. En particulier, Linux-Nantes pourrait intervenir dans la création de "firmwares" pour les noeuds du réseau, fonctionnant sur des systèmes libres de type embarqué (un système à base de noyau linux, spécialement adapté et entièrement libre, dans le cas des routeurs wrt54g, par exemple), ainsi que des applications distribuées. Les circuits administratifs permettant le fonctionnement d'une grosse association comme Linux-Nantes semblant assez compliqués, comparés, par exemple à ceux de Nantes-wireless, il semble nécessaire que des personnes, membres de Linux-Nantes, voire membres du CA de Linux-Nantes, puissent expliquer le projet, ainsi que les implications possibles de Linux-Nantes dans le projet.
Si les rôles de Nantes-wireless, voire de Linux-Nantes (respectivement sur la mise en place de l'infrastructure et sur des développements , administration et utilisation de cette infrastructure) sur le projet sont assez clairement définis, il n'en est pas de même concernant les autres associations du CollecTIC et le CollecTIC lui-même. Les rôles suivants, pouvant être tenus par les autres associations du CollecTIC ont été évoqués :
En plus de ces rôles, Florian et moi, rapidement relayés par Jean-Michel, avons souligné la nécessité d'avoir des appuis politiques sur le montage du projet et pendant sa réalisation. Un rôle supplémentaire que pourrait avoir le CollecTIC serait d'organiser ces relations politiques, tout en étant vigilent de ne pas être victimes involontaires de querelles politiques, sachant qu'il existe des facteurs affiliataires, pour ne pas dire partisans voire affectifs, dans ces sphères de décision et que le support politique que l'on pourrait obtenir localement ne serait pas nécessairement en phase avec les directions politiques suivies par les initiateurs de l'appel à projet, dépendant directement du gouvernement actuel.
Une [réunion|http://www.5sur5.net/collectic/wikini/wakka.php?wiki=PremiereReunionInterAssoDATAR], au niveau du CollecTIC est prévue, pour fin août début septembre (probablement début septembre), pour aborder tous ces aspects.
Des démarches ont déjà été entreprises en direction du [service formation continue de l'Université de Nantes|http://www.fc.univ-nantes.fr] et de la [communauté urbaine de Nantes (Nantes Métropole)|http://www.nantes-metropole.fr]. Le service formation continue intégrerait au projet son [dispositif de production|http://www.oasis-tv.net] de programmes audio-visuel et multimédia à vocation scientifique et culturelle et interviendrait sur l'étude de l'intégration liaisons satellites IP bidirectionnelles, et Nantes Métropole interviendrait comme support
* technique, pour fournir des éléments de cartographie des territoires d'implantation du projet, plus éventuellement définir une complémentarité possible entre l'infrastructure du projet et le réseau [O-Méga|http://www.adiasc.net/breve.php3?id_breve=20],
Nous avons envisagé un modèle reposant essentiellement, voire complètement, sur des liaisons IP sur radio (IEEE 802.11b, IEEE 802.11g, en favorisant le IEEE 802.11g (54 Mbits/s.) partout où c'est possible). Vues les caractéristiques du support et la [réglementation|http://www.art-telecom.fr/publications/lignedir/index-ldrlan250703.htm] en vigueur pour l'établissement de réseaux publics utilisant ces technologies, seules sont possibles des liaisons courtes (quelques centaines de mètres pour des liaisons omnidirectionnelles ou sectorielles à moins d'un kilomètre (à préciser) pour des liaisons point à point directionnelles) et avec une parfaite visibilité entre les antennes entre lesquelles sont établies chaque liaison. L'établissement d'un réseau, couvrant un grand territoire, impose une densité géographique (NDR: évaluée par le rapport entre le nombre de noeuds et la surface couverte) importante des noeuds du réseau. De plus, afin d'avoir un réseau performant (en terme de bande passante), supportant bien la montée en charge, et résistant aux pannes (panne d'un noeud, interruption d'une liaison), il est nécessaire que la densité du réseau (NDR: rapport entre le nombre de liaisons et le nombre de noeuds au carré (Nl/(Nn*(Nn-1)) pour être exact) lui-même soit élevée, afin d'avoir une redondance de chemins entre les noeuds du réseau.
Ce problème de densités apparait donc comme la clé de la faisabilité du projet. Il justifie également la faisabilité du projet, en milieu urbain, où on a plus de chance de pouvoir atteindre le seuil de densité critique. Jean-Michel a rappelé qu'on pouvait profiter de l'"effet réseau" pour son développement : une fois qu'on a atteint un nombre suffisant de noeuds pour permettre le fonctionnement d'un petit noyau (ce nombre a été évalué entre 30 et 50 noeuds), l'extension (géographique et en nombre de noeud) du réseau serait plus facile.
Afin d'avoir une idée rapide des lieux d'implantation et, par là même, de la faisabilité du projet, il est nécessaire d'avoir une carte précise des lieux potentiels. Pour celà, on peut s'appuyer sur [phpwirelessmap|http://phpwirelessmap.sourceforge.net]. Cependant, les informations maintenues par phpwirelessmap n'étant pas nécessairement à jour et ayant, de plus, un caractère fortement nominatif, il a été décidé qu'une personne maintienne une carte (papier) de sites potentiels et prennent des contacts directs avec les personnes susceptibles d'accueillir les premiers noeuds. Pour le repérage des points, il a été envisagé d'avoir recours à un GPS ou bien à des sites comme [Un Point C'est Tout|http://www.upct.org]. Des évolutions à phpwirelessmap ont par ailleurs été évoquées : extension de la carte à la (grande) périphérie de Nantes, utilisation de cartes vectorielles (éventuellement fournies par la CUN), relance automatique, par courrier électronique sur l'état des noeuds du réseau se trouvant sur la carte.
Le titre de l'appel à projets inclue l'accès à l'Internet. Comme Thierry Pageaud l'avait fait remarquer sur le forum, afin d'être recevable, notre projet devra répondre sur ce point, alors que le modèle de réseau communautaire que nous imaginons en fait totalement abstraction. Les difficultés pratiques pour inclure l'accès Internet dans le projet sont de deux ordres : en premier lieu, il y a un problème juridique, la personne physique ou morale souscrivant au raccordement du réseau à l'Internet, prenant la responsabilité du trafic échangé entre le réseau et l'Internet. Ensuite, il existe un problème financier, si, proposant un accès gratuit, le projet doit supporter un coût d'abonnement périodique (mensuel ou annuel) pour le raccordement à l'Internet. Les coûts de raccordement à très haut débit (10 à 30 Mbits/s.), situation idéale pour profiter de la bande passante locale que nous pourrions atteindre sur le réseau métropolitain sont très élevés (de l'ordre de 10.000 euros par an). Dans l'idéal, il faudrait également considérer plusieurs points de raccordement à l'Internet, situés à différents endroits sur le réseau métropolitain, plutôt qu'un seul point de raccordement, de façon à éviter d'avoir un goulot d'étranglement au niveau de l'interconnexion du point de raccordement du réseau vers l'Internet.
** O-Méga, mais, ce réseau est d'une part normalement réservé aux collectivités locales et, par extension, aux établissements publics, et d'autrepart, est déployé, à très haut-débit (fibres optiques, la plupart supportant 100 Mbits/s. à 1 Gbits/s.), mais localement; pour le raccordement à l'Internet, O-Méga repose sur des contrats passés avec des opérateurs privés; il risque d'être difficile de demander à la communauté urbaine de nous fournir gratuitement une ressource que, eux, payent;
Il est mentionné explicitement dans l'appel à projets qu'une des motivations du déploiement des technologies alternatives (dont les réseaux sans-fil) est de permettre l'accès à haut débit dans des zones dans lesquelles aucune offre commerciale d'accès à l'Internet à haut débit n'est accessible au grand public. Or, dans sa définition actuelle, notre projet n'est réellement viable qu'en milieu urbain, mais, ce qui, dans le cas de la métropole nantaise, correspond à des territoires pour lesquels il existe déjà une offre en haut débit.
* avoir un camion, muni d'espace de stockage, d'une interface réseau sans fil, qui pourrait faire le relai (très asynchrone...) entre des points de connexion, à la campagne et un accès réseau.
Nous avons envisagé l'infrastructure technique selon un modèle de réseau distribué, reposant sur une interconnexion de routeurs intelligents, pouvant embarquer par exemple des fonctions d'authentification, de cryptographie. Chaque routeur est administré localement, par son possesseur. Nantes-wireless (et Linux-Nantes (?)) fournira la documentation et l'assistance nécessaire à celà. Le wrt54g, d'un prix très compétitif, très extensible et reposant sur du logiciel libre semble être un bon choix pour ces routeurs. Au niveau du routage et du réseau, il serait souhaitable de supporter nativement IPv6 et le routage dynamique multicast. Des passerelles IPv4 seraient prévues pour permettre l'intégration d'ordinateurs ne supportant pas IPv6 (c'est le cas des systèmes Windows 95 et 98, par exemple).
* Recenser les personnes intéressées ou susceptibles d'accueillir un noeud du réseau et leur fixer un rendez-vous pour les réunir.
__Voici ma petite définition du HomeDriving :__%%%
''Divertissement qui consiste à scanner les réseaux sans-fil de son appartement.''%%%
*Qu'il peut être dangeureux de ne pas protèger son réseau WiFi.
*Que le WiFi permet de rencontrer ses voisins.
__Alors pour faire simple, il suffit d'avoir :__
*Une carte wifi (ici une OrinocoSilver).
De mon PC de bureau, avec ma carte Wifi Orinoco je ne détecte aucun réseau sans-fil.%%%
Mon PC est juste a coté de la fenêtre, je vais donc connecter une antenne sur ma carte Wifi pour augmenter la pluissance du signal et poser l'antenne sur le rebord de la fenêtre pour voir.
''Note : Ceci est illégal (en france) pour les personnes n'ayant pas leurs brevets de radio amateurs. En effet, l'antenne amplifiant le signal de la carte, les 100mW de PIRE autorisés sont très vites dépassés.''
__Voici ma carte Wifi (Orinoco) :__
Le signal est faible mais suffisament elevé pour que je puisse m'y connecter.
__Un petit coup de "ipconfig /renew" :__
Comme je suis un gentil garçon et que mon but est juste de le contacter afin de créer un réseau Wifi avec lui, alors je lui envoie juste petit un message :
Le WarWalking consiste à scanner les réseaux sans-fil tout en marchant.
- D'une carte Wifi
Bon pour aujourd'hui ça va être simple, une petite marche de 20 minutes va permettre d'avoir un apperçu de l'utilisation du wifi du coté de La Défense à Paris.
Voici comment importer les infos de kismet (fichiers .csv) dans une base MySQL.
`FirstTime` varchar(128) NOT NULL default '',
require ("config.inc.php");
if (isset ($_FILES['userfile'])) {
$extension = explode(".",$_FILES['userfile']['name']);
if (($extension <> "csv")|($extension <> "CSV")) echo "The file has no csv extension, so be careful !";
if (!is_uploaded_file($_FILES['userfile']['tmp_name'])) {
$msg= "You did not upload a file!";
$csvfilename = "/tmp/".$_FILES['userfile']['name'];
$msg = "<br><b>File has been successfully uploaded!</b>";
$fp = fopen ($csvfilename, "r");
$query = "insert into kismet (NetType,ESSID,BSSID,Info,Channel,Cloaked,WEP,Decrypted,MaxRate,MaxSeenRate,Beacon,LLC,Data,Crypt,Weak,Total,Carrier,Encoding,FirstTime,LastTime,BestQuality,BestSignal,BestNoise,GPSMinLat,GPSMinLon,GPSMinAlt,GPSMinSpd,GPSMaxLat,GPSMaxLon,GPSMaxAlt,GPSMaxSpd,GPSBestLat,GPSBestLon,GPSBestAlt,DataSize,IPType,IP) values (";
echo "You did not upload a file";
<input type="hidden" name="MAX_FILE_SIZE" value="33554432" />
<input type="file" name="userfile" />
!!3 - Le script d'affichage des noeuds
$query = "SELECT Id, NetType, ESSID, BSSID, Info, Channel, Cloaked, WEP, Decrypted, MaxRate, MaxSeenRate, Beacon, LLC, Data, Crypt, Weak, Total, Carrier, Encoding, FirstTime, LastTime, BestQuality, BestSignal, BestNoise, DataSize, IPType, IP FROM kismet ORDER BY Id ASC;";
while ($affichage= mysql_fetch_row($resultat)) {
if ($affichage[7]=="Yes") {
if ($affichage[9]=="11.0") {
if ($affichage[9]=="22.0") {
if ($affichage[9]=="54.0") {
echo "<table style=\"font-size: 90%; border: 1px solid #E0E0E0;\"><tbody><tr bgcolor=\"grey\"><td>NetType</td><td>ESSID</td><td>BSSID</td><td>Info (Nickname)</td><td>Channel</td><td>Cloaked</td><td>WEP</td><td>Decrypted</td><td>MaxRate</td><td>MaxSeenRate</td><td>Beacon</td><td>LL></td><td>Data</td><td>Crypt</td><td>Weak</td><td>Total</td><td>Carrier</td><td>Encoding</td><td>FirstTime</td><td>LastTime</td><td>BestQuality</td><td>BestSignal</td><td>BestNoise</td><td>DataSize</td><td>IPType</td><td>IP</td>";
$query = "SELECT Id, NetType, ESSID, BSSID, Info, Channel, Cloaked, WEP, Decrypted, MaxRate, MaxSeenRate, Beacon, LLC, Data, Crypt, Weak, Total, Carrier, Encoding, FirstTime, LastTime, BestQuality, BestSignal, BestNoise, DataSize, IPType, IP FROM kismet ORDER BY Id ASC;";
while ($affichage= mysql_fetch_row($resultat)) {
for ($i=1;$i<=count($affichage);$i++) {
echo "<td>$affichage[$i]</td>";
Ordre du jour : réunion à l'Olympic ( http://olympic.asso.fr ) pour un debriefing sur le [Scopitone 2004|Scopitone2004]
Néanmois quelques améliorations ont été discutées afin que l'édition 2005 permette à chaque association et aux visiteurs de mieux communiquer.
Concernant Nantes-Wireless, nous pourrions réaliser un panneau d'un format assez grand (50x80 par exemple) sur lequel nous présentons brièvement les technologies sans-fil et l'association. Ainsi les visiteurs ont une idée de notre activité, et peuvent dès la première question, approfondir le sujet.
Il serait également intéressant de compiler des documents afin d'en faire une présentation (PowerPoint et OpenOffice Impress) afin de laisser tourner la présentation en fond.
Il faudrait également, dans une perspective créative, ne pas se contenter de l'installation sans-fil, mais donner des exemples concrets (sur le festival et dans la vie de tous les jours) afin de montrer en quoi cela peut aider les personnes au quotidien, et sur le lieu de jour,les artistes. Tout ceci n'est pas nouveau, mais il suffit juste de réaliser le document qui permet de vulgariser les technologies sans-fil auprès du grand public.
- pas de logo de l'association, à part le trépied et l'antenne, pas de moyen de nous identifier
Au niveau de la communication inter-associations, nous regrettons le fait de n'avoir pas pu participer au plan d'adressage IP donné par Linux-Nantes Association. Nous pourrons donc remédier à cela l'année prochaine, afin de proposer, pourquoi pas, une attribution d'adresses via DHCP derrière les points d'accès installés par Nantes-Wireless.
!!Calcul du coût du matériel Wi-Fi
<title>Devis mat&eacute;riel wifi</title>
Nous pouvons vous aider &agrave; estimer le co&ucirc;t du mat&eacute;riel wifi, pour cela, indiquez les quantit&eacute;s de chacun des composanst que vous estimez n&eacute;cessaire, o&ugrave; que l&#039;on vous a conseill&eacute;:<br>
$totalpcfixes = $_GET['pcfixes'] * 55;
echo "<li>".$_GET['pcfixes']." PC Fixes : $totalpcfixes &#8364;</li>";
$total = $totalpcfixes + $totalpcportables + $totalrouteur + $totalpigtail + $totalsd15 + $totalsd19 + $totalsd24 + $totalomni8 + $totalomni15 + $totalpatch10 + $totalpatch15;
<img src="../wireless/pcfixe.jpg">
Nombre de PC fixes :<INPUT maxlength="10" size="4" value="0" name="pcfixes" type="text">
Intérêssé par la création d'un réseau wifi dans les environs de chez moi.
Ce document a comme but de recenser les réseaux WiFi de quartier sur la ville de Nantes.
Malheureusement, la vision semble limitée (seuls les toits environnants sont directement visibles). Une piste : il existe un mat d'antenne TV (4m), avec peut-être la possibilité de monter une antenne wifi au dessus de l'antenne TV. L'accès en vision directe de la place du commerce n'est pas complètelent gagné pour l'instant. Ils envisagent un autre lieu d'implantation possible pour une antenne : l'Olympic.
Les noeuds de ce réseau communautaire seraient réalisés à partir de [wrt54g|LinksysWRT54G]. Ces routeurs sont abordables, fonctionnent sous linux, font l'objet de développements de firmwares customisés (de la part d'associations à [Paris| http://www.paris-sansfil.fr/~~thus/mbk/mbk.php], Lille et de la fédé, notamment), en particulier pour faire du routage dynamique.
Nous n'avons finalement pas répondu à l'[appel à projets de la DATAR|http://www.5sur5.net/collectic/wikini/wakka.php?wiki=ReponseAppelProjetsDatar], notre principal partenaire, [Nantes-Métropole|http://www.nantes-metropole.fr], nous ayant fait faux-bond au dernier moment. Nous attendons de voir si une nouvelle vague d'appels à projets arrive (l'appel à projets est normalement ouvert jusqu'en 2006, mais il existe des rumeurs comme quoi les sources de financement sur cet appel à projets seraient épuisées; wait and see...).
Une personne Prolag faisant ses étude à St. Malo (qui dépend de l'université de Rennes 1), a le projet de développement d'une infrastructure avec authentification, contrôle d'accès et chiffrement pour son établissement d'enseignement. Il a pris contact avec des enseignants sur place. Il envisage d'utiliser EAP/TLS, mais c'est pour l'instant très lourd à utiliser, notamment ce qui concerne la génération et l'installation de certificats. Il est nécessaire de rechercher ou développer des programmes interfaçant ces étapes (génération de certificats à
*génération automatique de certificats
L'Ebook semble bien connu (et reconnu) dans la communauté des wifiistes...
*Visioconférence ([gnomemeeting|http://freshmeat.net/projects/gnomemeeting/]& [ZMeeting|http://www.killefiz.de/zaurus/showdetail.php?app=696]) entre 3 machines (dont le Zaurus de Prospere) interconnectée en wifi (ça a parfaitement fonctionné, mais nous n'avion qu'une seule caméra et un seul micro, et pas sur la même machine),
*Tunnel [IPv6|http://www.ipv6.org] [openvpn|OpenVPN] sur IPv4 sur wifi entre ma machine et celle de Ritalman : le but était de tester l'option --tun-ipv6 d'OpenVPN (cette option, comme son nom l'indique, permet de faire des tunnels IPv6) : le test a parfaitement fonctionné (ping, accès à apache, dans les 2 sens), avec un petit "kernel oops" du portable de Ritalman sur la fin,
Je n'ai pas encore mis de wifi j'atta ma Freebox V4 pour emettre.
Authentification WPA via serveur RADIUS déporté
;:[Infracom|http://online.infracom-france.com/] : VPC matériel Wifi
;:[Réseau Direct|http://www.reseaudirect.com/] : VPC matériel Wifi
;:[HF Lan|http://www.hflan.com/] : VPC matériel Wifi
;:[Calcul emission|http://www.wifi-fr.net/index.php?page=calcul] : Outil du site www.wifi-fr.net
Malheureusement, il n'est pas possible d'aller boire un café et tester et utiliser le noeud de la taverne de la marine, les gens qui y travaillent l'interdisant. Donc, même si cela parait un peu bizarre, il n'est pas très intéressant que la taverne de la marine ait une connection wi-fi.
Ce standard permet d’optimiser l'allocation des ressources du réseau sans fil selon la qualité de chaque liaison. 802.11k étant conçu pour être mis en application dans le logiciel, il est compatible avec les normes existantes. L’idée est de remonter les informations relatives aux signaux reçus par les stations utilisatrices à la S.B pour établir des statiques sur les performances de la connexion, sur le rapport signal/bruit, sur la quantité d’erreur, etc. De ces statistiques, la stations de base pourra entreprendre suivant le service demandé par la station, de l’autorisé à se connecter, de optimiser la transmission vers cette station ou encore de la rediriger vers une autre station.
En cours de standardisation ; Il définit les tests relatifs aux mesures de la distance, de la qualité du signal et de la fréquence pour l’utilisation avec 802.11k.
Nantes, comme toutes les grandes villes, est composée d'une grande diversité de commerces, d'entreprises, d'associations et de personnes. Toutes ces entités, un moment ou à un autre, ont besoin d'un moyen de communication rapide, fiable et disponible à n'importe quel emplacement géographique. Ce besoin est principalement dû à :
Techniquement et humainement capable, les moyens financiers n'en restent pour autant que très limités. La technologie pour réaliser ce système de communication doit donc être financièrement avantageuse à l'achat et à l'entretien. C'est pour cette raison que la technologie des réseaux sans-fil convient parfaitement.
Les produits de bonne qualité peuvent être obtenus à des tarifs très avantageux et ne nécessitent pas d'accessoires coûteux pour être mis en place. De plus, la qualité et l'étendue du réseau ADSL couvrant la ville permet d'offrir un moyen de communication très fiable et qui ne nécessite pas d'entretien de la part de l'association. Une architecture hybride entre le réseau internet et un réseau sans-fil permettrat donc de mettre en place un système de communication fiable, accessible financièrement et géographiquement.
La participation d'une grande partie de la population Nantaise est préférable pour permettre la mise en place de ce système de communication. Cependant, tous les nantais ne sont pas administrateurs réseaux. Il faut donc trouver une solution technologique permettant une configuration et une maintenance aisée des différents noeuds du réseau de manière à ce que l'association Nantes-Wireless n'ait pas à gérer la totalité du système, mais plutôt le système dans sa globalité.
Pour la couverture sans-fil de la ville, le choix se porte sur des routeurs à faîble coût et de bonne qualité : les routeurs Linksys [[WRT54G|http://www.materiel.net/details_WRT54G.html]] et [[WRT54GS|http://www.materiel.net/details_WRT54GS.html]]. Le choix du routeur est intéressant car il permet une liaison à l'internet et un couverture wifi de manière autonome. Ceci implique donc un gain de consommation ainsi qu'un confort d'utilisation (niveau sonore plus faible).
Pour relier les différents routeurs entre eux, le réseau ADSL de la ville est intéressant. Ainsi la mise en place d'un VPN (Virtual Private Network --> Réseau Privé Virtuel) permettra de tisser des liens entre les points d'accès de manière sécurisée sans infrastructure supplémentaire et fera bénéficier le réseau d'une gestion centralisée sous la forme d'un (ou plusieurs) serveur(s) radius.
La liaison des points d'accès entre eux nécessitant quelques compétences, un firmware personnalisé par l'association viendra remplacer le firmware d'origine. Ce dernier aura pour rôle de se connecter au réseau Nantes-Wireless et ainsi mettre en place la configuration nécessaire à la connexion, sans intervention de l'utilisateur.
!!!Firmware OpenWRT de l'association
Un nouveau groupe de développement s'est formé pour le firmware, le développement de ce nouveau firmware est expliqué sur la page [[NWFirmware]].
!Ancien Responsable du firmware/interface web :
- Notions de cross-compilation ([GCC|http://gcc.gnu.org], [uClibc|http://www.uclibc.org]) (Firmware uniquement)
- utilisation d'une toolchain pour mipsel (Firmware uniquement)
!Contenu du firmware
Le firmware OpenWRT est destiné aux Linksys WRT54G et contient les outils nécessaires pour rejoindre le réseau de Nantes-Wireless. Cela inclut notamment :
- Outils réseaux classiques : iptables, ip6tables, iproute, ifconfig ...
- Mini HTTPD (serveur web HTTPS authentification HTTP)
- Frottle (une application de QoS pour réseaux sans-fil)
Tous ces outils tiennent dans un firmware de 3Mo au téléchargement, et de 5Mo sur la machine, ce qui laisse environ 2Mo (pour un WRT54G et 4Mo pour un WRT54GS) de libre pour rajouter encore des paquetages supplémentaires s'il le fallait. La synchronisation et la hiérarchisation de ce réseau est faite grâce à :
- un serveur rsync pour la mise à jour des firmwares
- un serveur OpenVPN primaire secondaire avec DHCP statique pour la connexion au réseau Note : les point d'accès Asus WL-500G sont aussi supportés par ce firmware.
Du fait que la configuration d'un routeur, et en particulier de tous ces outils est difficile, nous fournissons une interface de configuration par navigateur et sécurisée (HTTPS authentification HTTP). Cette interface permet de pousser très loin la configuration de votre point d'accès :
- Configuration de l'interface ethernet (Adresse IP, masque de réseau, passerellle)
- Configuration de la vitesse de négociation du switch par port (10/100Mbits) - Configuration de l'interface Wireless : SSID, WEP, WPA-PSK, WPA ...
- Configuration des tunnels VPN : connexion vers un serveur primaire, secondaire ...
- Configuration du firewall
- Configuration des services : DHCP, VPN, RADIUS, Portail Captif, Détection d'intrusion ... Le minimum que vous pouvez attendre de cet interface est de trouver toutes les fonctionnalités existantes dans un firmware Linksys originel, plus la configuration et outils réseaux ajoutés.
!!Les logiciels pour le Wifi
Le Wifi semble être une alternative complémentaire (non concurrente) à l'ADSL.
L'objectif principal et fédérateur de l'association a été rappelé : construire un réseau communautaire, libre d'accès, à l'échelle de la ville de Nantes. Les principales difficultés dans la réalisation de ce projet ont été listées :
*une densité critique à atteindre, avant de pouvoir profiter d'un "effet de réseau" (NDR: si la densité est importante, il est plus facile de raccorder de nouveaux noeuds et d'assurer la continuité),
*de définir des objectifs et des priorités dans ces objectifs,
Les étudiants (de l'Université, en particulier) peuvent être des acteurs importants du projet; le déploiement d'un réseau communautaire au sein de l'Université et avec le soutien technique de celle-ci semble difficile, en particulier à cause de règles de fonctionnement imposées par les services réseau de l'Université ainsi que Renater (nécessité de contrôle des identifications des utilisateurs et des accès réseau par l'Université en particulier). En revanche, il est envisageable que les étudiants puissent déployer un réseau communautaire dans les cités universitaires. Une question peut alors se poser : peut-on envisager de prendre contact avec le CROUS, pour, par exemple installer des antennes sur les toits des cités universitaires ?
L'association peut-elle fournir du matériel pour le développement du réseau ? (à l'instar l'Ozone (NDR: http://www.ozone.net/), qui fournit le matériel aux particuliers, pour faire évoluer son réseau). Le problème qui peut vite arriver si nous nous orientons dans cette voie est de fournir la maintenance de ce matériel. Le recours à du microcode (firmware) de matériel courant et peu couteux (Linksys WRT54g) spécialement conçu pour contribuer au réseau communautaire est une solution à ce problème (cf. plus loin).
Le problème peut devenir important si le réseau devient grand... Le firmware basé sur OpenWRT peut également apporter une solution dans ce cas.
!Firmwares libres et à distribuer
Une adaptation du firmware (microcode) OpenWRT (pour les points d'accès/routeurs [Linksys WRT54g|LinksysWRT54G]) pour servir de noeud au réseau communautaire, avec un minimum de configuration et celle-ci se faisant à travers une interface (WWW) simple d'utilisation, est en cours de développement. Florian nous a présenté les pages de cette interface. Celle-ci reprend le thème graphique de l'association et permet de configurer tous les paramètres nécessaires à la mise en place d'un noeud du réseau. Remarque importante : avec ce firmware (il s'agit en réalité
d'un mini-système linux), le WRT54g est suffisant et autonome pour monter un noeud du réseau.
Il parait important de développer une infrastructure fixe, stable, pérenne, même si celle-ci n'a que deux ou trois noeuds. Ça permettrait d'avoir quelquechose de concret à montrer, ça ferait un point de départ pour monter une infrastructure plus vaste, et ça permettrait de valider un certain nombre de choix techniques.
Pour l'instant, le réseau monté par Ctu et ses voisins semble être le meilleur candidat pour ce réseau de départ. Nous envisageons de mettre en place, autour de cette initiative, les principaux composants du réseau communautaire : serveurs radius, noeuds avec le firmware Nantes-Wireless, avec portail captif, authentification par EAP/TTLS.
Un certain nombres de ces objectifs ont été définis comme prioritaires. Les critères de priorité sont l'urgence et le nombre d'objectifs dépendant de ces objectifs prioritaires.
Outre la mise en place de l'infrastructure pilote (noyau), impliquant un soutient actif aux développements autour du firmware Nantes-Wireless, les principaux objectifs sont des objectifs de rédaction :
Faute d'un nombre suffisant de membres à jour de leur cotisation, il n'y a pas pu y avoir d'élection d'un nouveau bureau.
Tous les membres de l'association sont d'office intégrés au groupe déploiement.
Le but du groupe de développement est d'adapter le firmware OpenWRT/Freifunk/Wifidog aux besoins de Nantes-Wireless.
Dans ce but, l'équipe modifie l'existant, en liaison avec la Fédération France Wireless.
Pour ajouter une antenne, il suffit de désouder les 2 antennes et de souder votre pigtail
!!Firmware Open Source :
7 - As yet unidentified FLASH ram%%%
!!!Configuration d'OpenVPN en IPv6
Ci-dessous vous trouverez une configuration pour openvpn qui permet d'avoir un tunnel IPv6 fonctionnel.
!! Configuration du serveur
Voici le fichier de configuration d'OpenVPN :
Fichier de routes : route.up
N'oubliez pas rendre le fichier executable :
!! Configuration côté client
Fichier route.up, pensez à remplacer eth0 par l'interface qui vous relie au serveur
Pour installer l'[IP v6|IPv6] sous windows XP/2003 il suffit d'executer la commande "ipv6.exe install" et de redémarrer Windows.
Ensuite vous avez le choix entre les commandes __ipv6.exe__ et __netsh.exe__ pour configurer vos périphériques réseaux.
!Exemple de configuration de l'adresse IP :
!Exemple de configuration de route :
* [Commandes de configuration pour FreeBSD,Windows et Linux|http://www.telscom.ch/configuration_of_ipv6_features.htm]
* [La commande Ipv6|http://research.microsoft.com/msripv6/docs/config.htm]
!Les Réseaux 802.11 (Wifi) propose 2 types d'architecture :
Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits).%%%
Pour valider la compatibilité de l'[IPV6|IPv6] et trouver une configuration pour la connexion au réseau des clients Windows.
* __(Rémi)__ ''fe80::/10'' => [adresses "lien local"|http://mirrors.bieringer.de/Linux+IPv6-HOWTO-fr/x509.html#AEN515], c'est-à-dire dont la portée correspond aux machines partageant la même liaison (le même ethernet, wifi ou tunnel); les paquets ayant une adresse destination dans cette plage ne peuvent pas traverser des routeurs (ils sont (normalement) éliminés par les routeurs).
* __(Rémi)__ Il existait des adresses ["site local"|http://mirrors.bieringer.de/Linux+IPv6-HOWTO-fr/x509.html#AEN532], prefixe ''fec0::/10'', mais elles sont obsolètes ([RFC 3879|http://www.ietf.org/rfc/rfc3879.txt]).
* __(Rémi)__ Concernant la constitution des adresses IPv6 unicast globales, des règles strictes (et compliquées) avaient été définies ([RFC 2374|http://www.ietf.org/rfc/rfc2374.txt]), mais elles sont aujourd'hui obsolètes ([RFC 3587|http://www.ietf.org/rfc/rfc3587.txt], rendant obsolète la [RFC 2374|http://www.ietf.org/rfc/rfc2374.txt]). La [RFC 3587|http://www.ietf.org/rfc/rfc3587.txt] indique notamment que le préfixe ''2000::/3'' (incluant ''2001::/16''), est celui qui est en ce moment utilisé par l'IANA pour la délégation de préfixes d'adresses IPv6 unicast globales. Bref, les adresses ''en 2001::/16'' sont des adresses IPv6 publiques (la notion "d'adresses privées" ([RFC 1918|http://www.ietf.org/rfc/rfc1918.txt]) n'existe pas vraiement (ou plus vraiement, du moins depuis l'obsolescence des adresses "site local") pour IPv6).
!WPA 2 - Wi-Fi Protected Access 2
Tout comme le WPA, le WPA2 assure le cryptage ainsi que l'intégrité des données transférées sur un résau Wifi.%%%
Le protocole WPA 2 inclut quelques différences très significatives avec son prédécesseur, comme le "key caching" et la "Pre-authentification".
Une autre inovation du WPA2 est la "Pre-authentification".%%%
Cette fonction permet a un utilisateur mobile de s'identifier avec un autre Point d'acces sur le quel il risque de "roamer" dans le futur.%%%
Ce processus est réalisé en redirigeant les trames d'authentification généré par le client envoyé au Point d'accés actuel vers son "futur" Point d'accés par l'intermédiaire du réseau filaire.
Le fait qu'une station mobile puisse s'identifier sur plusieurs Point d'Accès en même temps accroie considérablement la charge du Serveur d'Authentification. De ce fait, de nombreux consctruteurs "bride" les appareils utilisant le WPA2 en verouillant cette fonction.
Il permet à un utilisateur mobile de "conserver" la clé PMK (Primary Master Key) lorsqu'une identification s'est terminé avec succès afin de pouvoir la réutiliser lors de ses prochaines transactions avec ce même AP.
Cela signifie qu'un utilisateur mobil n'a besoin de s'identifier qu'une seule fois avec une Point d'Accés spécifique. Il n'a plus qu'a "conserver" la clé PMK, ce qui est géré par le PMKID (Primary Master Key Identifier) qui n'est qu'un Hashage de la clé PMK, l'adresse MAC de l'AP et du client mobil et une chaine de caractere.
Ainsi, le PMKID identifie de facon unique le PMK.
Même avec le "key caching, un client mobil doit s'identifier auprés de chaque Point d'Accés au quel il voudra se connecter. Cependant, cette événement n'a besoin de se faire qu'une seule fois par Point d'Accès (aussi longtemps que la clé sera considéré valide et se mise en cache par le client mobil et le Point d'Accès), cela introduit un temps de latence non négligeable, qui ralentie le temps d'identification se qui peut pénaliser le support des application en "temps réél".
Pour résoudre ce probleme, Airespace, Funk et Atheros ont développé une extension du 802.11i, appelé "Proactive Key Caching" (PKC). Ce méchanisme permet à un client mobil de réutiliser un PMK qu'il a précédament négocié avec succès lors de son processus d'authentification, éliminant ainsi le besoin du client mobil de se réauthentifier sur un nouvelle AP lorsqu'il "roam".
*si c'est le cas, il va bypasser le processus d'authentification et va immédiatement procéder à l'échange des clés WPA2
*si ce n'est pas le cas, le client devrat suivre le procéssus standart d'authentification 802.1X.
*Officialisation d'un texte présentant l'association
*Officialisation d'un texte présentant l'infrastructure réelle (en place) du réseau Nantes-Wireless
*Etat de l'infrastructure officielle (Radius, Portail captif ??)
*Etat du firmware OpenWRT
!!!Collage d'affiche le 26/02/2005 à 14h
Discussion avec l'équipe de Linux Nantes et collage d'affiches en ville.
**point sur l'avancement des objectifs prioritaires définis lors de la [réunion du 4 février 2005|CompteRenduDu04-02-2005] : communication, déploiement du noyau de l'infrastructure et des serveurs d'authentification,
**bilan financier
Un certain nombre d'objectifs avaient été définis lors de la [dernière réunion|CompteRenduDu04-02-2005]. Parmi ceux-ci, deux axes principaux ont été développés :
*Afin de faciliter la communication entre personnes du même groupe de travail, il faudrait organiser des listes de diffusion (par courrier électronique). Étant donné que nous sommes peu nombreux et le faible nombre de groupes de travaux actifs simultanément, il a été décidé d'avoir une liste de diffusion pour tous les groupes de travail, quitte à mettre en place des listes plus spécifiques après si le besoin s'en fait ressentir.
*Un nouveau membre a fait la remarque que l'organisation des réunions n'est pas assez stricte. Les discussions partent assez rapidement sur des sujets techniques, souvent en petit comité, et, comme le nombre de réunions est (NDR: fut ?) assez faible, l'accueil des nouveaux membres, l'accessibilité à des non spécialistes ou le traitement de questions d'ordre stratégique en patissent. Il faudrait réserver les discussions techniques à des réunions spécifiques (ateliers, ...) ou à des discussions en réseau (irc, forum, courrier électronique, ...).
*certains trouvent le logo trop "''dur''" ou rappelant des symboles politiques ou extrèmistes. Il a été rappelé que le logo de Nantes-Wireless reprend le dessin adopté par un grand nombre d'associations promouvant une utilisation libre des réseaux sans-fil tout en reprenant les contours des bâtiments nantais.
*une remarque a aussi été faite sur l'intitulé "''un réseau communautaire sans fil libre''" en première page du site et sur la plupart des documents distribués. En particulier l'adjectif "communautaire" pourrait être mal interprété et les trois termes (communautaire, sans fil, libre) apposés au nom "réseau" donnent une formule un peu lourde. Il a été évoqué d'enlever le terme "communautaire" pour ne conserver que "''réseau sans fil libre''".
*Les premières versions utilisables du microcode (firmware) Nantes-Wireless sont prévues pour plus tard.
__[Microcode|FirmwareNW] ([firmware Nantes-Wireless|FirmwareNW], basé sur OpenWRT)__
Il constitue un développement important et indispensable pour le déploiement de l'infrastructure. Le choix technique pour l'équipement des noeuds a été défini. Les noeuds sont donc à base de [Linksys WRT54g|LinksysWRT54G] (ou de la version plus étendue WRT54gs, mais le microcode doit être fonctionnel sur le WRT54g). Chaque utilisateur du réseau devra disposer d'un tel équipement, mais cet équipement sera suffisant pour l'accès au réseau (NDR: actuellement, le [Linksys WRT54g|LinksysWRT54G] coûte un peu moins de 73 euros TTC (un peu moins de 86 euros pour le WRT54gs) auprès de fournisseurs du coin).
Une des principales difficultés est de faire rentrer tous les composants logiciels nécessaires dans le peu d'espace de stockage disponible sur l'appareil (NDR: 4 Mo. de mémoire non volatile (flash) sur un WRT54g, on peut espèrer pouvoir exploiter jusqu'à 6 Mo. d'espace de stockage en utilisant des techniques de compression; pour comparaison un ordinateur classique dispose d'environ 40 Go. d'espace de stockage, soit environ 40000 fois plus).
L'authentification des utilisateurs du réseau est réalisée en utilisant le protocole [EAP/TTLS|802.1x] et en stockant les données d'identification (liste des utilisateurs autorisés à se connecter, secrets de connexion, ...) sur un serveur dédié. Ceci nécessite plusieurs choses :
*un serveur [radius|ServeurRadius] : celui-ci utilise les logiciels libres FreeRadius, pour l'accès aux données d'authentification, et [PostgreSQL|http://www.postgresql.org/] pour le stockage de ces données. Ce serveur est [fonctionnel|http://www.nantes-wireless.org/forum/viewtopic.php?t=2848] depuis peu.
*Il faudrait envisager un mécanisme de réplication des données de ce serveur sur un ou plusieurs autres serveurs pour limiter les risques d'engorgement du réseau et les risques liés à la défaillance d'un serveur. RitalMan a des contacts pour héberger un serveur radius (principal ou réplique) dans un ''datacenter''. Un mécanisme d'aiguillage (en vue d'une répartition de la charge et/ou d'une haute disponibilité) des requêtes d'authentification des clients vers les serveurs est à définir (''round robin DNS'', ''proxy inverse UDP'' ou adressage ''anycast'' IPv6 ont été évoqués). Pour l'instant seul un serveur (hébergé par Ritalman) est opérationnel.
*Une station d'authentification au niveau de chaque noeud (WRT54g). Elle assure le relai entre les demandes d'authentification des clients (wifi) du noeud et le(s) serveur(s) radius. Elle est fournie par Linksys, mais son programme doit loger dans les 4 à 6 Mo. disponibles sur le WRT54g.
**l'identification se fait au moyen d'un nom de connexion (''login'') et d'un mot de passe,
**ceux-ci (ou du moins des cryptogrammes permettant d'en vérifier l'authenticité) sont stockés sur le serveur radius,
**on peut leur associer des informations permettant d'identifier les utilisateurs (nom, pseudo, ...), en gardant à l'esprit qu'une déclaration à la [CNIL|http://www.cnil.fr] est indispensable dans ce cas,
**des conditions d'accès au réseau ont été envisagées : accès restreint aux membres de l'association, avec définition d'une nouvelle catégorie de membres, cotisation symbolique (?) (1 euros ? 5 euros ?).
Le choix du protocole réseau (IPv4/IPv6) n'est toujours pas définitivement tranché, mais, le point critique (l'espace disponible dans la flash d'un WRT54g est il suffisant pour loger le support des deux versions de protocoles ?) semble être résolu : en prenant quelques précautions pour économiser l'espace, il est possible de loger le support d'IPv4 et d'IPv6. Le support de la double pile de protocoles (IPv4 et IPv6) semble être un bon choix, permettant aux utilisateurs qui le souhaitent de conserver un fonctionnement IPv4 tout en tirant avantage du support IPv6.
*La [Linux Party|http://www.linux-nantes.fr.eu.org/article.php3?id_article=306] se tiendra le 19 mars à l'Olympic. Nantes-wireless a répondu positivement (et avec enthousiasme; que nous avons confirmé auprès des personnes membres de [Linux Nantes|http://www.linux-nantes.fr.eu.org/], présentes à cette réunion) à l'invitation de [Linux Nantes|http://www.linux-nantes.fr.eu.org/] et participera à cette manifestation. [Linux Nantes|http://www.linux-nantes.fr.eu.org/] mettra en place le réseau sur place, comprenant un réseau filaire ethernet et deux points d'accès sans fil, interconnecté à l'Internet, mais nous avons proposé que Nantes-wireless
**mette en place une liaison expérimentale entre l'Olympic et un site, équipé d'un accès Internet à haut débit et situé en face de l'Olympic, afin d'accroitre la bande passante disponible à l'Olympic le jour de la Linux Party et de pouvoir envisager une diffusion en temps réel vers l'internet, de reportages en vidéo numérique.
*Une [réunion|http://www.nantes-wireless.org/pages/wiki/index.php/ProchaineR%E9union/2005-02-26] de préparation de la Linux-Party est prévue le 26/02/2005; des bras sont demandés pour coller les affiches de la Linux Party avant cette réunion. Rendez-vous le 26/02/2005, à 14h30 dans les locaux de Linux-Nantes (17 rue Paul Bellamy, au premier étage, à gauche dans la cour).
Cette journée est normalement prévue pour le 5 mars 2005. GrdScarabe en est l'un des instigateurs. Elle n'a pas de titre officiel pour le moment (NDR: j'ai pris le titre temporaire "promouvoir le libre" pour avoir une dénomination à laquelle on puisse faire référence), et la possibilité de sa tenue est encore en attente du feu vert de responsables de la faculté des sciences et des techniques de l'université de Nantes, auprès de qui la demande a été faite, et avec le soutien de plusieurs enseignants de la faculté.
L'association ayant une trésorerie conséquente (NDR: par rapport à ce qu'elle a connu depuis ses débuts et cf. plus loin, bilan financier), il a été décidé d'acheter du matériel pour soutenir l'effort de déploiement du réseau. Le choix technique de l'équipement ayant été fait ([Linksys WRT54g|LinksysWRT54G] ou compatible), les efforts de développement se situant surtout au niveau du firmware, et disposant du matériel suffisant pour le reste de l'équipement à déployer (ordinateurs appartenant aux membres, antennes appartenant aux membres ou à l'association, en particulier), nous avons décidé d'acheter deux points d'accès [Linksys WRT54gs|http://www.materiel.net/details_WRT54GS.html] pour servir à la mise au point du firmware et au déploiement du réseau.
Psio (président sortant) a fait un point sur l'activité de l'association. Le plus apparent est le manque de réunions, ce qui entraine une démotivation et des difficultés à suivre un schéma directeur cohérent. Ceci devrait normalement être rectifié cette année avec des réunions plus fréquentes et un groupe de membres plus compact mais aussi peut-être plus soudé autour d'un même projet.
Ctu (trésorier sortant) a dressé le bilan financier de l'association.
**1 antenne panneau + fixations + connectique (NDR: c'est moi qui les ai en ce moment) + matériel divers (NDR: des pieds d'antenne en béton massif par exemple),
*Le bureau a été entièrement dissout puis reformé. Le conseil d'administration a élu une personne pour chaque poste défini dans les statuts de l'association :
*D'autres postes à responsabilités ont été définis. Le conseil d'administration a élu une personne pour chacun de ces autres postes :
*[26/02/2005|http://www.nantes-wireless.org/pages/wiki/index.php/ProchaineR%E9union/2005-02-26] : préparation de la Linux-Party et collage d'affiches
Le signal résultant ressemble au "bruit blanc", comme un enregistrement audio "de statique", sauf que ce bruit peut être filtré à la réception pour récupérer les données originales, en multipliant de nouveau avec le même ordre pseudoaléatoire au signal reçu (vu que 1 × 1 = 1 et -1 × -1 = 1).
#Le signal est plus difficilement interceptable.
!!!Statut de l'interface web pour le firmware Nantes-Wireless
* Configuration de l'interface internet (DHCP, PPPoE, statique) (avancement : 100%)
* Configuration du serveur SSH (envoie d'une clé publique, arrêt, marche, redémarrage) (avancement : 100%)
- Interface Wifi (avancement : 15%)
- Configuration OpenVPN (avancement : 0%)
- Configuration du routage dynamique avec Quagga ( avancement : 0%)
- Configuration d'OLSRD ( avancement : 0%)
Ajout d'une carte Wifi dans un portable IBM ThinkPad a31
Suite a cet article qui ne solutionne pas le probleme pour une carte wifi ibm j'ai fait des recherches pour installer la mienne (fru:26p8472) sur mon a31,un modele 2652 KZG.La partie hardware reste identique mais concernant les drivers il faut aller sur le site de support lenovo thinkpad :http://www-307.ibm.com/pc/support/site.wss/SOFT-UPDATE.html#DLP
Vous telechargez et installez le software installer et ensuite vous le laissez faire:il va telecharger et installer automatiquement tout ce dont votre thinkpad a besoin dont le fameux driver de la carte wifi et l'utilitaire ibm de connection auto.
La Carte Wifi du PDA
On appercoi en démontant la carte Wifi que le connecteur d'antenne est un [U.FL|ConnecteursU.FL]%%%
Il suffit d'ajouter un pigtail U.FL vers le connecteur de votre choix pour pouvoir connecter une antenne externe
(source : http://www.sans-fils.org/dossiers/article.php3?id_article=469)
* http://www.paris-sansfil.fr/index.php/OLSR
* http://www.lillesansfil.org/:olsr
** http://www.paris-sansfil.fr/MOLSR
!!! Commande groupée de matériel Wi-Fi Linksys
#Chaque participant achète indépendemment sur [Materiel.net|http://www.materiel.net] en entrant son code promo pour bénéficier de la réduction.
__Produits Wi-Fi disponibles à l'achat:__
Il est à noter que la possession d'un Linksys WRT54GS est grandement préférable pour la connexion au réseau Nantes-Wireless car c'est le seul routeur (actuellement) pour lequel l'équipe de développement développe un firmware qui simplifie la connexion au réseau !
En cours de dévelopement, le 802.11v aura pour but le management de périphérique sans-fil 802.11, permettant aux stations de faire du "monitoring", de la configuration, mise a jour de facon centralisé ou distribué.
__Impression des tracts et affiches__%%%
RitalMan aurait la possibilité d'imprimer un A3 couleur, à confirmer.%%%
*Une affiche Materiel.net sur notre stand lors des manifestations. (Ctu a 7 affiches)%%%
*Remises sous forme de codes promos pour tous les membres de l'asso mais exclusivement sur matériel Wi-Fi de marque Linksys.%%%
Cotisation de 40 euros payée à la fédération. Enfin à jour!%%%
Une [commande groupée|CommandeGroupee230205] a été lancée. Tant que le microde n'est pas finalisé, elle restera "cachée" sur le Wiki (peu de visiteurs fréquentent le Wiki), contribuant à son côté non officiel pour le moment, mais permettant de voir les personnes vraiment intéressées. En effet, aller sur le wiki et chercher la page nécessite une implication plus importante qu'un vote sur le forum.
Le serveur [Radius|ServeurRadius] est en fontionnement. Prolag s'est authentifié avec Securew32 sur le Radius de RitalMan.%%%
Normalement les certificats s'installent sans trop de manipulations.(sous Windows:double clic sur le certificat)%%%
Ctu a eu quelques problèmes pour installer les certificats sous WindowsXP.%%%
#Dans la console mmc: Fichier/Ajouter un Composant Logiciel Enfichable/Certificats/Compte Ordinateur/Ordi Local%%%
#Sélectionner Autorités de Certification Racines de confiance%%%
#Importer ses certificats un par un.%%%
Le serveur RADIUS servira également à l'authentification des clients depuis les hotspots. Les personnes s'y connectant pourront même demander une création de compte RADIUS en ligne, puis ensuite s'authentifier.%%%
Suivant le type de service demandé par l'utilisateur, il faudra voir si l'authentification permanente avec certificats + login/mot de passe n'est pas davantage adaptée que celle par portail captif qui nécessite la réauthentification du client au bout d'un temps défini.%%%
__Microcode (Firmware)__%%%
RitalMan continue le développement du [FirmwareNW] %%%
L'équipe d'[OpenWRT|http://www.openwrt.org] vient de sortir, pour des tests uniquement, une version incluant une rom toute en jffs2 compressée avec l'algorithme LZMA, ce qui permet de gagner environ 300Ko (soit la taille du noyau) dans la ROM du firmware. D'autre part, le noyau a été changé au profit d'un 2.4.29 tout récent avec l'API de cryptographie, on peut donc s'attendre à des performances significatives sur les tunnels VPN cryptés et sur l'utilisation du WPA/AES. Nous devons donc tester ce nouvel environnement de développement afin de voir quels paquetages nécessitent une recompilation et ceux qui sont conservés tels quels. L'interface web n'est pas concernée par cette modification.%%%
La carte [PhpWirelessMap] n'est plus à jour. Il faudrait la refaire. RitalMan a proposé à Prospere de mettre un timer pour effacer automatiquement les nodes après un temps défini par l'utilisateur.%%%
Une conférence sur le Wi-Fi est programmée. 20 minutes d'exposé. 25mn de questions.%%%
!Tests Wi-Fi
Nous pourrons tester avec les firmwares de base, et avec un firmware OpenWRT tout frais.
__Produits Wi-Fi disponibles à l'achat:__%%%
!!!Mise en place d'une infrastructure officielle du réseau NWN
Il faudrait définir ici ce qu'il va y avoir réellement dans l'infrastructure du réseau Nantes-Wireless (NWN). C'est à dire les choses sur lesquels nous pourrons communiquer et nous appuyer pour proposer des services aux utilisateurs.
Bien sur l'infrastructure réelle pourra être plus complexe et prévoir plus de choses mais contentons nous pour le moment de réaliser quelquechose de simple, fonctionnel et efficace.
Il faut centraliser dans une base de donnée tous les couples login / pass qui seront utilisé sur le réseau afin de s'authentifier. Cette base de donnée sera donc utilisé par les différents mode d'authentification (portail captif / RADIUS).
Pour ces utilisateurs, un service ne nécessitant pas de configuration spécifique/lourde et une connexion transparente (pas de login/mot passe) au réseau est souhaitable. On peut donc se tourner vers une solution de certificats.
Un certificat est une entité propre à chaque utilisateur du réseau. La possession de ce certificat est une preuve formelle de l'identité de la personne. Il n'est donc pas nécessaire de demander plus d'informations car la transmission du certificat suffit à identifier la personne (ou plutôt l'ordinateur).
Il faut cependant informer les utilisateurs de l'importance de conserver leur certificat (sauvegardes...<troll>surtout sous Windows</troll>) et de ne pas le communiquer afin de garantir leur sécurité et celle du réseau.
Le portail captif est une solution intéressante dans la mesure où il permet d'offrir la possibilité à un utilisateur de se connecter au réseau par l'intermédiaire d'un identifiant(login) et d'un secret (mot de passe). La connexion est alors mise en place pour toute la durée de la session (configurable).
De chez soi, un membre pourra installer un certificat et un système d'authentification automatique (mémorisation login / pass) pour pouvoir facilement utiliser le réseau de chez lui.
Depuis le centre du petit port (bowling, patinoire, piscine, bar), on peut imaginer couvrir le lieu par quelques AP qui permettraient à des utilisateurs occasionnels de pouvoir aller sur internet. Ces utilisateurs doivent pouvoir donc s'authentifier rapidement en étant capturés dès le début de la sesion par le portail captif.
- 45 min de présentation sur le Wi-Fi en général, les projets de l'association
- présentation succinte du wifi (kesako, légalité, normes, ...)
- la mise en place du réseau sur Nantes (présentation du système routeur+firmware, déploiement actuel, antennes et portée...)
Il permet de mettre en place une authentification par interface Web, simplifiant ainsi la mise en place de Hotspots et réduisant la charge de configuration du Client pour accéder au réseau sans fil.
Entièrement compatible avec le protocole RADIUS, il va offrir une solution d'authentification centralisée et sécurisée grâce au support du WEP ou WPA/PSK.
Disponible uniquement sur Linux, Chillispot a été testé avec les distributions Redhat, Febora, Debian, Gentoo, Mandrake et le firmware OpenWRT.
Chillispot permet l'utilisation de 2 types d'authentification :
__Avec l'UAM__, le client sans-fil demande une adresse IP qui lui sera alloué par Chillispot, qui va faire office de serveur DHCP.%%%
Ensuite quand l'utilisateur va vouloir surfer sur le Web, Chillispot va intercepter la connection TCP et rediriger le navigateur vers le serveur WEB permettant l'authentification.%%%
__Il est important de signaler__ que dans le cas d'une connection Wifi non sécurisé, le couple login / mots de passe transite du Client vers le serveur Chillispot par l'intermédiaire du protocole HTTP qui est très facilement interprétable suite a une capture.%%%
Il est fortement préconisé d'utilisé SSL/TLS (__HTTPS__) sur le serveur Web afin de créer un canal sécurisé entre le Client et le serveur Web.
__Avec le WPA 802.1X__, le client sans fil va s'authentifier sur le point d'accès (le client sera bien sure configuré en tant que client 802.1X et l'échange de la clé secrete aura été fait aupparavant), qui lui va transmettre les données d'authentification au serveur Chillispot (configuré en tant que Proxy RADIUS dans ce cas la), qui à son tour va retransmettre les données au serveur RADIUS.%%%
Comme pour la méthode UAM, le serveur Chillispot va faire office de DHCP.
Pour les 2 méthodes, Chillispot renvoie les requètes d'authentification au serveur RADIUS qui va renvoyer un "Access-Accept" au serveur Chillispot si l'authenfication est réussie. Sinon, un "Access-Reject" sera renvoyé.
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 100
3: eth1: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 100
7: wds0.2: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 100
8: wds0.3: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 100
[Doc de configuration de WDS sur OpenWRT|http://www.openwrt.org/OpenWrtDocs/Configuration#head-aba1228974499bb5dcaffdb2c3d45b07bcab2013]
!Configuration AP Rémi :
!Configuration AP Bruspal :
!Configuration AP Nissen :
!!Fin de la réunion
Lorsque je suis parti (vers 18h45), Nissen et Bruspal tentaient de configurer le point d'accès de Bruspal en mode client du point d'accès de Nissen (dans l'objectif d'avoir un accès Internet dans la cuisine de B17 (où, contrairement aux autres pièces, il y avait du chauffage)).
Etant donné qu'aucune heure n'avait été réellement fixée, tout le monde est arrivé et reparti à des heures différentes. Finalement, nous n'avons pas eu énormément de temps pour expérimenter ce que nous voulions.
Il faudrait que la configuration des AP que nous utiliserons pour la Linux Party soit prète sur chacun de ces points d'accès (au moins :
*Firmware OpenWRT (ou dérivé) installé,
*[OLSR|http://www.paris-sansfil.fr/OLSR] (nous en avons discuté Ritalman et moi samedi; l'utilisation de ce protocole de routage dynamique peut vite devenir intéressante (voire indispendable) pour une configuration avec beaucoup de points d'accès en WDS, et avec une topologie de réseau qui bouge beaucoup (ce qui était typiquement le cas samedi)...)
- Développement du Firmware : [FirmwareNW]
L'infrastructure ne peut être mise en place par les membres actifs seuls, il faut que les personnes intéressés par le réseau constituent leur propres noeuds. Le firmware est là pour ça ! Cependant, certains noeuds n'appartiendront à personne en particulier, ce sont les noeuds qui couvrent les emplacements publiques (place du commerce, FAC, ...). Il faut trouver une solution pour la mise en place de ces noeuds.
Enfin, une fois tout ces éléments mis en place, il devient nécessaire de gérer la partie humaine du réseau : les utilisateurs. C'est la partie à ne surtout pas négliger car c'est la partie la plus ennuyante mais également la plus importante. En effet, sans utilisateurs il n'y a pas de réseau, même si on a la meilleure infrastructure du monde !
Une fois toutes ces différentes étapes passées nous pourrons profiter pleinement d'un réseau communautaire et libre sur la ville de Nantes. D'ici là il y a du chemin...alors retroussons nos manches et en route pour l'aventure Nantes-Wireless. Bien sûr toutes les plumes et les claviers sont invitées à donner un coup de main. Dans communautaire, il y a communauté !
- mettre en place un switching entre radius et autre système d'authentification
- mise en place d'un Radius fiable avec base MySQL
- sortie d'un firmware basique pour commencer à déployer : première mise à jour
- masque du réseau : 10.44.X.X/ + couche IPv6 + classe d'appoint pour la configuration du système + pour le réseau un /32
!!!Configuration d'une connexion Wifi sous Windows XP SP2
Une fois la carte installé et le PC en présence d'un réseau sans fil, un info bulle nous prévient d'une possible connexion.
Une confirmation nous est demandé avant la connexion
Il est possible de gérer ses réseaux préférés permettant de se connecter plus rapidement sans à avoir à tout reconfigurer.
Il est possible de classer les réseaux en fonction de votre choix permettant ainsi si vous êtes en présence de plusieurs réseaux sans-fil, d'être toujours connecté a celui que vous voulez.
Fonction intéressante permettant d'outre passer le choix des réseaux, permettant de se connecter à un réseau sans-fil dès sa détection malgré qu'il ne soit pas en tête dans vos favoris.
Les fonctions permettent de filtrer les réseaux détectés, limitant et simplifiant ainsi la configuration lorsque le client est en présence d'une forte concentration de réseaux sans-fil.
!!!Configuration d'une carte Wifi avec un cryptage WPA sous Windows XP SP2
Une fois la carte installé et le PC en présence d'un réseau sans fil, un info bulle nous prévient d'une possible connexion.
On peut remarqué que dans les propriétes de la connexion, les informations sur le type de cryptage peuvent être modifié
Il est possible de classer les réseaux en fonction de votre choix permettant ainsi si vous êtes en présence de plusieurs réseaux sans-fil, d'être toujours connecté a celui que vous voulez.
Fonction intéressante permettant d'outre passer le choix des réseaux, permettant de se connecter à un réseau sans-fil dès sa détection malgré qu'il ne soit pas en tête dans vos favoris.
Les fonctions permettent de filtrer les réseaux détectés, limitant et simplifiant ainsi la configuration lorsque le client est en présence d'une forte concentration de réseaux sans-fil.
*A définir
*Debriefing Linux Party #9
Ritalman a exposé le plan de la présentation orale; très bon retour de la part des autres membres présents. Une remarque sur la réglementation : il faut rappeler la réglementation, rappeler qu'on peut assister des personnes dans la mise en place d'installations, mais que l'association ne dispose pas de dérogations par rapport à la réglementation. Il serait intéressant de déterminer dans quelle mesure l'ART peut donner des dérogations; visiblement les radio-amateurs bénéficient d'une telle dérogation.
*Psio a soumis l'idée d'utiliser des urnes (disponibles en grande surface pour un prix modique) pour installer les points d'accès en extérieur. Ça semble suffisament étanche et suffisament volumineux pour que les points d'accès ne chauffent pas trop.
*Les serveurs radius de [Paris-sans-fil|http://www.paris-sansfil.info/] et de Nantes-wireless (celui de Ritalman) sont synchronisés; des authentifications croisées sont donc possibles entre Nantes et Paris (un parisien peut s'identifier à Nantes et vice-versa).
*GrdScarabe a proposé le support de plusieurs méthodes d'authentification (EAP/TTLS (pour des clients linux), EAP/TLS (pour des membres permanents), EAP/...); l'idée est intéressante, mais l'objectif numéro 1 est d'avoir une méthode en place rapidement.
*Organisation : vu les délais très courts entre la décision de la date de réunion et la réunion elle-même, il est de plus en plus difficile de réserver des salles auprès de la mairie (manufacture : il faut s'y prendre au moins 18 jours à l'avance; baco : un peu moins, mais une semaine c'est souvent trop court); Ctu a éventuellement proposé l'hôpital, mais il faut qu'il soit présent. La solution de B17 (à laquelle nous avons eu souvent recours dernièrement) est pratique, mais il faudrait peut-être l'"officialiser".
_remi_ 1) debriefing salon de dimanche
_remi_ 1bis) debriefing interview prune
grdscarabe mias il ne passera peut être pas avant 19h30..vu que c'est le début officiel de la réunion
grdscarabe clur...ils etaient un peu chaud à la fin :D
_remi_ j'ai voulu configurer grub pour booter sur le 2eme
Prolag le Wifi, le son l'ecran... :D
olifozzy moi c etait sarge + xorg de ubuntu + wifi en wpa s il vous plait
grdscarabe 1) debriefing salon de dimanche
grdscarabe NW a mis en place une liaison WiFi entre la salle ou se trouvaient tous les gens et une maison située à une centaine de mèetres
_remi le dernier avec une double fonction : faire la liaison + distribuer la cnx wifi dans la salle
grdscarabe mais il semble que l'instabilité ne provenait pas de la liaison wifi en elle même...mais plutot des petites liaisons subsidiaires
_remi les 3 points d'acces etaient configures en WDS
_remi je mettrai la config sur une page wiki des que j'ai le temps
_remi 2.a) firmware / interface web
grdscarabe pour mettre les fichiers de l'interface
grdscarabe RItalMan a cependant bossé sur les fichiers de config de chilispot et OLSR
grdscarabe faut voir avec RItalMan c'est lui qui bosse le plus sur les fichiers
grdscarabe pour ce qui est de l'infrastructure, la nouveauté vient de la mise en relation de notre radius avec celui de Paris sans fil
grdscarabe quelques noeuds sont en place, mais pas suffisemment pour le moment...il faut continuer à motiver les gens
grdscarabe pour Scopitone nantes-Wireless doit mettre en place une liaison WiFi entre la trocardiere et Commerces
grdscarabe cette année pour tenir un mois il va falloir bien reflechir a la mise en place et ne pas trop tarder afin que tout soit prêt pour début juin
grdscarabe ...ce qui se confirme...:(
Origines identifiées :
*Question : faut-il présenter les responsables de l'association dans le document ? Réponses plutôt affirmatives des gens présents lors de la réunion...
*Lille : a inclus des exemples pratiques (mais fictifs) de cas d'utilisation des réseaux sans fil. Peut-être attendre d'avoir des exemples réels ?...
Associations : une association de Vendée (télédiffusion sur les 1 GHz, 4 GHz; télé locale), peut-être moyen de faire des interviews avec eux. Une autre association (lycée) présentera des balises radio-électriques, fixées sur des ballons gonflés à l'hélium; le ballon monte à 30 Km de haut; contacts avec des radioamateurs dans la région, qui, par triangulation, retrouvent la position du ballon. Brocante de vieux matériel radio et informatique.
*Possibilité d'interconnecter (en wifi), les stands entre eux (sans obligation de résultat).
*réunion générale après (mardi 12) (débriefing rencontres radio (ARALA) + débriefing Prun + ...).
Le réseau local sera entièrement wi-fi (prêt de cartes).
*Vulgarisation (qu'est-ce que le wifi, quel matériel...)
- Présence, information et sensibilisation aux technologies sans-fil durant le lieu de jour : accueil des personnes, discussions et démonstrations.
- Installation et configuration du réseau sans-fil sur : le lieu de jour et le lieu de nuit. Enfin, mise en place d'une liaison entre les deux sites.
Au niveau du matériel, l'ensemble des antennes et de la connectique est fourni par [infracom|http://online.infracom-france.com/]. Les routeurs WRT54G sont fournis par [Linksys|http://www.linksys.com] et [matériel.net|http://www.materiel.net] que nous remercions pour leur confiance et leur aide.
Cette liaison a pour but de faire communiquer la Maison des Hommes et des Technique (l'espace de jour du festival scopitone) avec le site de la Trocardière (espace de nuit) de façon a offrir à l'espace de nuit une connexion internet suffisante pour y diffuser de la vidéo en direct.
Liaison MHT CCI : canal 1 ( confirmer l'exclusivité du canal )
Liaison CCI Cité radieuse : canal 6 ( confirmer l'exclusivité du canal )
Liaison Cité radieuse Trocardière : canal 1 ( confirmer l'exclusivité du canal )
Prévoir de scanner la Trocardière, la MHT et la CCI pour des réseaux wifi pouvant nous gêner.
- Fiabilité des connectiques : a priori, testé pendant les simulations. De plus le matériel fournis ne devrait pas poser de problème.
Il faudrait définir s'il est préférable que les WRT54g se comportent comme des ponts ou des routeurs. Chacun de ces 2 modes ont des avantages et des inconvénients.
Le préfixe 2001:5c0:830b:1000::/52 est utilisé pour l'adressage IPv6 (ça permet de faire 4096 réseaux /64 ce qui devrait être suffisant). Il peut être subdivisé dans le cas où les WRT54g se comportent comme des routeurs IPv6.
Configuration, exemple sur point d'accès CCI (côté maison radieuse) :
# eth1 = wifi vers la maison radieuse
Je propose d'utiliser le préfixe (adresses - C'est une plage d'adresses IP privées (non routées sur l'Internet). Ce préfixe pourra être partagé pour tout le scopitone.
28/06 fin d'après-midi : la liaison Dubigeon - CCI affiche un niveau de signal compris entre -65 dB et -89 dB (pas de trace systèmatique, juste des wl rssi de temps en temps); le débit est monté jusqu'à 54 Mbits/s. et n'est jamais descendu en dessous de 11 Mbits/s.
!!!Réseau sans fils espace de nuit
Pour s'assurer une fiabilité maximale, et parce que c'est le point de diffusion le plus important, la liaison entre la caravane et la régie vidéo de la halle (6) sera assuré par un câble ethernet.
De même, un câble ethernet reliera l'antenne sur le toit (7) à la caravane (pour éviter aux réseaux wifi de se chevaucher).
L'installation de ce point ne devrait pas poser de problème (si ce n'est qu'il faut prévoir du temps pour installer les câbles ethernet). Pas de matériel de manutention important à allouer (une échelle pour grimper sur le toit au pire). Problème d'assurance : il nous est interdit de monter sur une échelle sans la formation adapté, donc il faut trouver une solution (par exemple préparer un matériel suffisament fiable pour être déposé par un néophyte ou trouver un technicien qualifié pour l'escalade d'échelle).
Il faut donc positionner l'antenne sur le mat et le WRT54G __avant__ l'élevation du chapiteau (donc fixer le tout sur le mat au sol, prêt à être levé). Il faut évidemment prévoir une alimentation pour le WRT54G et ne pas oublier de laisser pendre un câble réseau suffisament bas pour pouvoir accéder à l'interface ethernet du routeur facilement en cas de panne (c'est-à-dire sans avoir besoin de faire appel à un cordiste pour grimper en haut du mat et s'occuper de la panne...).
Prévoir un moyen de poser un mat suffisament haut pour y placer l'antenne sans qu'un alcoolique vienne s'amuser avec.
Pour cela nous prévoyons une liaison filaire à partir du point (1). Il faut donc prévoir un câble suffisament long et le faire passer de la caravane (1) à la régie vidéo de la halle (6) en passant par la coursive. Il y a un léger travail "acrobatique" donc prévoir avec François (le régisseur) pour une nacelle et quelqu'un qui n'a pas le vertige (mais nous ne serons pas les seuls à faire passer des câbles à cette endroit donc ça ne devrait pas poser de problème si l'on s'y prend suffisament à l'avance).
Ce n'est pas un point extremement prioritaire : même s'il y a 10 écrans, à partir de 1h du matin il n'y aura plus de pause suffisante entre les concerts pour diffuser de la vidéo. De toute façon ce n'est pas le point qui posera le plus de problème a priori puisque relié en filaire.
Les disponibilités de chacun à la fin du mois de juillet n'ont pas permis l'organisation d'une réunion officielle, malgré quelques annonces sur le forum. Se sont donc organisées deux réunions informelles, dont je fais un seul compte-rendu ici. J'ai aussi ajouté des éléments qui avaient été évoqués lors du festival Scopitone et lors des réunions de débriefing qui l'avait suivi.
*développement du firmware, vpn
*d'une liaison sans fil entre les deux lieux,
Une [page wiki|ScopiTone2005] spécifique est en cours d'élaboration pour décrire en détail l'intervention technique de Nantes-wireless dans la réalisation de l'infrastructure réseau du Scopitone 2005.
Sur le lieu du jour, l'ensemble du réseau (desservant une soixantaine de postes) reposait sur une infrastructure sans fil, composée de 5 points d'accès [Linksys WRT54g|http://www.materiel.net/details_WRT54G.html] (trois prétés par [materiel.net|http://www.materiel.net], un du [service formation continue de l'université de Nantes|http://www.fc.univ-nantes.fr], un de [Nantes-wireless|http://www.nantes-wireless.org]). Quatre des points d'accès servaient à l'établissement du réseau sur le lieu du jour lui-même, le cinquième à la terminaison de la liaison entre le lieu de jour et le lieu de nuit. Deux routeurs, l'un prété par l'association [Linux Nantes|http://www.linux-nantes.fr.eu.org], et l'autre par l'université de Nantes, ainsi que trois switchs ethernet, prétés par Linux-Nantes ont complété le dispositif. Nantes-wireless, Linux-Nantes et le service formation continue de l'université de Nantes ont configuré l'ensemble. La zone couverte correspondait aux trois étages du bâtiment ''ateliers et chantiers de Nantes'', accueillant le lieu du jour du festival (le festival se déroulait aux rez-de-chaussée et au premier étage, mais la terminaison de la liaison vers le lieu de nuit se trouvait au second).
L'infrastructure réseau du lieu de nuit reposait également principalement sur du réseau sans fil. 6 points d'accès correspondant à 4 points chauds du lieu de nuit ont été mis en place, autour d'un point central, connecté à une antenne omnidirectionnelle installée au sommet (11 mètres de hauteur) du chapiteau situé au centre de la zone et d'un point d'accès correspondant à la terminaison de la liaison entre le lieu de jour et le lieu de nuit. Tous ces points d'accès étaient prétés par [materiel.net|http://www.materiel.net]. Toutes les antennes étaient prétées par [Infracom|http://online.infracom-france.com/]. La zone couverte, sur le lieu de nuit correspondait à un hectare environ. L'ensemble de l'installation a été réalisée par Nantes-wireless.
Pour celà, une régie numérique de fortune a été installée dans une caravane, en particulier, un serveur de diffusion, construit autour du logiciel libre [vlc|http://www.videolan.org/vlc] et hébergé sur un serveur à base de processeurs [AMD x86_64 x2|http://www.amd.com/fr-fr/Processors/ProductInformation/0,,30_118_9485_13041,00.html] prété par [AMD|http://www.amd.com/fr-fr/], assurant la captation, en DV, des flux vidéos filmés, de leur transcodage en MPEG-4/MP3 et leur diffusion sur le réseau. Des stations de diffusion, elles aussi prétées par AMD, et exploitant le logiciel vlc en mode client, étaient installées dans chacun des lieux de projection. Nantes-wireless a également été mis à contribution pour la mise en place de la plate-forme de diffusion vidéo.
Nous avons mis en place une liaison entre les deux lieux principaux où se tenait le festival. Bien que les deux lieux soient distants de 2.8 Km environ à vol d'oiseau (environ 4 Km, en distance totale, en additionnant les distances entre tous les relais), nous avons pu établir cette liaison de manière fiable tout en respectant la réglementation en vigueur en France pour l'établissement de réseaux en utilisant la bande de fréquence des 2.4 GHz (une déclaration du projet de liaison auprès de l'ART avait été faite courant juin 2005), en ayant recours à deux sites relais en plus des points terminaux (lieu de jour: ateliers et chantiers de Nantes et lieu de nuit: Trocardière). Ces deux sites relais étaient installés l'un sur les terrasses de la [Chambre de Commerce et d'Industrie|http://www.cci.fr/Groups/nantes/HomePage] et l'autre à la Maison Radieuse de Rezé. Un point d'accès [Linksys WRT54g|http://www.materiel.net/details_WRT54G.html] et une antenne [SD15|http://online.infracom-france.com/product_info.php?cPath=26_27_30_102&products_id=99] composaient les extrémités de la liaison (lieux de jour et de nuit). Deux antennes paraboliques et deux points d'accès WRT54g interconnectés entre eux par cable ethernet composaient les points relais. Les deux extrémités du segment de liaison entre la chambre de commerce et d'industrie et la maison radieuse étaient équipées d'antennes [SD19|http://online.infracom-france.com/product_info.php?cPath=26_27_30_102&products_id=101], ce segment étant un peu plus long en distance que les deux autres (1.8 Km contre un peu moins d'1 Km pour chacun des deux autres). Les 6 points d'accès ayant permis la réalisation de cette liaison étaient prétés par [materiel.net|http://www.materiel.net] et les 6 antennes par [Infracom|http://online.infracom-france.com/].
La plus grosse difficulté recontrée a été dûe à la mise à disposition tardive (ce qui est cependant normal avec du matériel prêté) du serveur AMD pour le lieu de nuit, surtout compte-tenu de la spécificité de la plate-forme et du manque de recul de la gestion de cette architecture, très récente (nous étions les premiers en France à l'utiliser ainsi), sous linux. Nous n'avons eu le serveur que le mardi 28 juin, et nous avons dû consacrer beaucoup de temps à essayer de le faire fonctionner, ce qui, du coup, a laissé très peu de temps pour le reste des installations. Nous avons donc dû improviser, en dernière minute, en particulier sur des aspects qui ne sont pas directement dans la spécialité de l'association, la diffusion de vidéo, par exemple, qui auraient mérités plus de préparation de notre part ou bien quant à la mise en valeur des installations réseau que nous avons réalisées.
Une autre difficulté rencontrée était le manque d'organisation (entre nous et au niveau du festival lui-même) combiné à une très forte sollicitation car tous les membres de Nantes-wireless, présents sur le festival, étaient impliqués dans des installations nécessiares pour d'autres participants du festival ou pour le festival lui-même. Durant la préparation du festival et son ouverture au public, tous les membres de Nantes-wireless présents ont été sollicités sur plusieurs développements, installations ou dépannages à la fois, nous obligeant à délaisser certaines de nos priorités telles que la communication autour de l'activité de l'association, ou la présentation de démonstrations au public, par exemple autour de nos réalisations récentes.
[Materiel.net|http://www.materiel.net/] avait prété, pour l'organisation du festival Scopitone 2005, 14 points d'accès WRT54g. Après le festival, lors du retour de ces points d'accès à Materiel.net, il s'est avéré que 5 sur les 14 étaient dans un état qui ne permettaient plus leur reconditionnement ou leur reprise; l'un deux avait dû subir une intervention au fer à souder et à capot ouvert suite à un flashage malheureux (ce qui n'empeche pas un fonctionnement correct mais rompt la garantie de Linksys) et les autres avaient un peu pris le soleil ce qui avait fait écailler légèrement les étiquettes plastifiées ornant les appareils. Toujours est-il que, afin de conserver les excellents rapports que nous entretenons avec materiel.net et dans la mesure où l'association et ses membres ont besoin de ce type de points d'accès, nous avons décidé, que l'association achèterait ces 5 points d'accès non repris, pour les redistribuer à ceux qui voudraient les reprendre ou bien les conserver pour ses propres développements.
Le quartier Zola représente pour l'instant l'endroit géographique où le plus de participants sont interconnectés par réseau sans fil (une dizaine de machines sur 4 lieux distincts). Il apparaît donc comme prioritaire de chercher à construire le développement du réseau autour de ce point. De plus, un des points de ce réseau est, du point de vue de la topographie urbaine, particulièrement bien situé.
Pour l'instant, ce réseau de quartier n'exploite pas le nouveau firmware, et utilise WEP pour l'authentification, en attendant des tests plus poussés et l'intégration du nouveau firmware et des nouveaux protocoles de VPN qui y seront associés.
!!Développement du Firmware Nantes-wireless et du VPN
!Evolution du firmware
Grâce à la participation de plusieurs développeurs, et de Ritalman, en particulier, le développement du [Firmware Nantes-Wireless|FirmwareNW] a bien avancé récemment. Il est aujourd'hui exploitable et fournit une interface intuitive pour le paramétrage des fonctions de base fournies par [OpenWRT|http://www.openwrt.org] telles que le paramétrage d'adresses IP, les redirections de connexions vers des serveurs internes, la récupération des logs, le paramétrage d'un relai/cache DNS, le paramétrage d'un portail captif, et des possibilités de paramétrage pour l'instant encore un peu restreintes de fonctionnalités telles que le routage dynamique, l'authentification avancée ou la mise en place de VPN.
La gestion du développement de ce firmware est faite sous la forme d'un [projet Sourceforge|https://sourceforge.net/projects/nwn-firmware/], et aujourd'hui, toutes les modifications réalisées par des développeurs de Nantes-wireless et d'ailleurs dans le monde ont été intégrées dans la version officielle du firmware.
Bien que le firmware puisse maintenant être utilisé tel quel (un [paquetage ipkg|http://prdownloads.sourceforge.net/nwn-firmware/interface-nwn_0.1-1_mipsel.ipk?download] est disponible, à installer sur OpenWRT), un certain nombre de développements supplémentaires sont prévus :
*un relookage de l'interface de configuration,
*l'adaptation des pages et des styles CSS de l'interface de configuration pour qu'elle fonctionne sur Internet Explorer (pour l'instant, elle fonctionne correctement sur Mozilla, Firefox, Konqueror, ... mais pas Internet Explorer),
*la configuration de modules logiciels supplémentaires (par exemple, la possibilité de configurer [netfilter|http://netfilter.samba.org] complètement à travers l'interface),
*la possibilité d'avoir une trace de l'intégralité des paramétrages (commandes shell, modifications de fichiers, de variables dans la nvram, etc) effectuées au travers de l'interface.
Quel que soit le cadre du développement des réseaux sans fil (évènements, réseaux communautaires, expérimentations), pour des raisons diverses, et malgré la philosophie de liberté du réseau, l'authentification des utilisateurs de ces réseaux s'est presque avérée nécessaire dans tous les cas. Nous avons employé trois grandes catégories de modes d'authentification jusqu'ici :
*l'authentification par couples de clé privée/clé publique, avec gestion de clés centralisée ou décentralisée sur un ou plusieurs serveurs radius, avec éventuellement un chiffrement de la session avec une clé de session échangée par un canal chiffré au moyen du couple de clés ainsi négocié (Radius+WEP, Radius + EAP/TLS ou EAP/TTLS),
*la mise en place de tunnels pour former un VPN, ces tunnels eux-mêmes étant authentifiées par des secrets partagés (VTun ou OpenVPN permettent ça) ou une infrastructure à clé publique (en utilisant les possibilités d'OpenVPN pour ça en particulier).
Aujourd'hui, la question de remplacer les modes d'authentification par secret partagé entre un point d'accès et ses clients par un VPN se pose, de part la faiblesse des modes d'authentification WEP et la non disponibilité de WPA dans tous les équipements et par la nécessité de déployer une infrastructure qu'on puisse étendre facilement.
Nous cherchons donc à développer en parallèle deux modes d'authentification :
*un VPN basé sur OpenVPN et utilisant des modes d'authentification par couples de clés publiques/clés privées (des certificats SSL/TLS en l'occurence),
Pour développer ceux-ci nous avons mis en place des expérimentations avec des serveurs d'authentification et de tunnels. Nous devons tester la facilité de leur déploiement et leur stabilité (en particulier concernant les clients OpenVPN sous Windows).
Concernant les VPNs, nous envisageons deux catégories de fonctionnement, l'un impliquant des serveurs ou des clients (ou les deux) OpenVPN sur des points d'accès WRT54g, l'autre impliquant des serveurs OpenVPN en amont du réseau sans fil et des clients OpenVPN sur les postes clients, en aval du réseau sans fil.
Enfin, il apparaît, à l'usage, que le [plan d'affectation des adresses IP|AllocationDesIp], dans la plage était un peu trop rigide, le sous-réseau affecté au quartier Zola étant complètement occupé alors que les autres sont loin de l'être. Nous avons donc décidé de l'assouplir, tout en conservant la possibilité que les adresses IPv4 soient uniques dans le réseau Nantes-Wireless et publiées sur le [Wiki|AllocationDesIp]. Chacun est donc libre d'utiliser les adresses dans la plage comme il le souhaite, de créer les sous-réseaux qu'il souhaite, à partir du moment où il n'utilise pas des adresses déjà utilisées par d'autres et qu'il reporte sur [la page Wiki|AllocationDesIp] les adresses qu'il utilise.
*communiquer de manière plus efficace lors d'évènements,
*organiser plus de réunions publiques, mieux les afficher, les annoncer plus à l'avance.
L'activité de la [fédération France Wireless|http://www.wireless-fr.org] semble un peu moins soutenue que par le passé, même si la fédération joue encore son rôle d'affichage des initiatives locales dans les associations locales. Espérons que cette baisse d'activité ne soit que temporaire et qu'elle retrouve le dynamisme qu'elle a connu.
Enfin, nous avions été contacté par [Apo33|http://www.apo33.org/] au début de cette année et nous les avons finalement recontrés lors du festival Scopitone. Il est apparu que nous avions un certain nombre de projets convergents entre Apo33 et Nantes-Wireless, la création d'un CD live linux dédié à la construction de noeuds de réseaux sans fil et, plus généralement le développement de réseau mesh.
c bizar ce truc Je modidfie ce ke je ve san control ?
il suffit de demonter les plaques en metal en declipsant les deux cotés et de retirer la plaque en plastique (celle ou il n'y a rien marqué dessus).
-http://loadup.dr.ag/s/http__dl3.rapidshare.de_files_4335481_228143398_Netgear_WG511T_External_Antenna_Mod.pdf -http://rapidshare.de/files/4335481/Netgear_WG511T_External_Antenna_Mod.pdf.html c'est pas le meme PCB que la mienne (v3) ça doit etre une v1 ?!
*Discussion autour du système d'authentification.
__Authentification :__
Discussion autour des différents types d'authentifications possibles:
*Vérification de la bande passante.
Les moyens d'authentification sur le réseau seront gérés par chaque ville grace à un serveur FreeRadius. %%%
* Création d'un __Woodstock__ du WiFi
L'attribution des rôles suivants des membres du bureau sera effective jusqu'a la fin de l'année 2002 :
**S'occupe de la documentation officiel et de la planification des événements de l'association.
**Confirmation des conditions de vente de matériels via Nantes-Wireless.
*Finalisation des relations partenaires
*Finalisation du compte bancaire
*Finalisation de la procédure de prêt
Psio prépare une présentation pour le "colloque WiFi" de la LinuxParty (présentation magistrale via slides videoprojetés + questions/réponses).
Cette autre journée permettra cette fois d'effectuer des tests en milieu fortement urbanisé, au centre de Nantes. Pour ce faire, Bulltech met ses locaux à disposition pour installer l'antenne fixe. Merci à eux.
Le principe de la création d'un HotSpot Officiel Nantes-Wireless au sein d'un lieu publique de Nantes a été validé par le bureau. Le "Lieu Unique" est notre premier prospect, mais il peut, en fonction de vos propositions, y en avoir d'autres (c'est même souhaitable, à terme !).
Nous proposerons vraisemblablement d'une connexion haut-débit au Net via un node WiFi (financement à voir avec nos partenaires) ainsi qu'un node BlueTooth. Il sera possible d'ajouter en plus un serveur (PC) Nantes-Wireless pour la gestion à distance et la mise en place éventuelle d'un portail spécialisé pour ce HotSpot.
Monsieur Ludovic TOINEL deviens donc officiellement président de l’association.
Depuis le 6 Août 2002, la cotisation annuelle a été fixée à l’unanimité à 20 Euros.
*Remplir la fiche d’insciption (téléchargeable et imprimable à partir du site www.nantes-wireless.org)
bénéficier de ces tarifs.
Pour commander du matériel, il vous suffit de remplir le formulaire de commande de
souhaitant partager les résultats de leur test, pourront remplir ces fichiers et les retourner à
*Officialisation d'un texte présentant l'association
*Officialisation d'un texte présentant l'infrastructure réelle (en place) du réseau Nantes-Wireless
*Etat de l'infrastructure officielle (Radius, Portail captif, plan IP)
*Etat du firmware OpenWRT
*vpn avec certificats
*Gestion des cotisations : tarif, début, fin (cas de la cotisation à cheval sur deux exercices)
*Gestion des certificats : script de création d'un certificat vpn et envoi automatique au nouveau membre
*Carte wifi PCMCIA : DLink DWL-G 650, driver disponible pour linux (atheros), supporte le mode G (54 Mbits/s.), fonctionne bien sous linux, mais un peu chère (50 euros),
*Stick USB : Zydas OEM, 8 dollars US, driver "maison" (fourni par le constructeur) qui semble un peu fait à la va-vite (fichiers .c~ dans les sources, nombreux warning à la compilation) mais semble bien fonctionner sous linux, sauf sur architecture arm; voir auprès de Hooligan0 pour des informations plus précises sur ce matériel.
!!Firmware Nantes-wireless
Suite à de nombreuses demande auprès des développeurs d'OpenWRT, une interface de configuration Web est maintenant intégrée à OpenWRT. Cette interface est bien faite, modulaire, facilement extensible et internationalisée. Elle fournit pas mal de fonctions intégrées, en particulier pour simplifier la réalisation des écrans et la validation des paramètres entrés par l'utilisateur. Elle est réalisée sous forme de pages HTML intégrant du code shell unix interprété d'une manière similaire au fonctionnement de PHP. L'ajout de nouvelles fonctionnalités demande un peu de prise en main des fonctions existantes et un peu d'habitude d'écriture de scripts shell, mais, il semble qu'il soit possible de s'y mettre assez rapidement, et que ça soit assez agréable à développer. RitalMan a développé quelques modules d'extension de cette interface.
L'idée développée lors de la réunion serait de reprendre le firmware Nantes-wireless mais de le réimplémenter sous la forme de modules pour cette interface OpenWRT. Parmi les modules existant dans le firmware Nantes-wireless, n'existant pas dans l'interface OpenWRT et qu'il serait intéressant de porter, on peut citer :
*la configuration d'OpenVPN,
*la séparation de l'interface wifi et des ports LAN ethernet du WRT54g,
*la configuration de règles de firewall,
*la configuration de la qualité de service,
*la configuration radius.
Un certain nombre de choix de développement pour le firmware dépendent de l'infrastructure du réseau Nantes-wireless, or ceux-ci ne sont toujours pas figés (cf. section suivante).
Le mode d'organisation des développements a été abordé : on peut faire le constat qu'il est assez difficile d'avoir, dans le cadre associatif, des projets à long terme qui demandent beaucoup d'énergie; à l'inverse, des projets à courte échéance, demandant beaucoup d'effort, mais dans l'urgence sont beaucoup plus effica ces. Il a donc été proposé, dans ce sens, d'organiser des installations du firmware Nantes-wireless lors de la prochaine Linux-Party.
Élément technique évoqué lors de la réunion : les WRT54g disposent d'un chipset cryptographique intégré. Celui-ci n'est pas pour l'instant utilisé par OpenWRT (pas de driver linux), mais il devrait bientôt pouvoir l'être; il sera alors possible de bénéficier de cette prise en charge matérielle des fonctions cryptographiques, déchargeant le processeur de ces opérations et les rendant plus rapides. Cette prise en charge matérielle devrait être accessible par toute application utilisant SSL, en particulier OpenVPN (reposant sur les bibliothèques OpenSSL pour la cryptographie).
Quelques aspects techniques de l'infrastructure avaient été définis lors de la dernière réunion :
*on laisse temporairement de côté l'authentification radius, au profit d'une authentification par les VPN,
Il n'y a pas de remise en cause profonde de ces choix, mais nous avons discuté à propos de la difficulté de paramétrage d'OpenVPN, ainsi que la nécessité de le télécharger et de l'installer avant de pouvoir se connecter au réseau. Tout ceci rendant la prise en main par des utilisateurs débutants un peu délicate. Une première proposition est de reposer sur des protocoles d'encapsulation tels que PPTP ou EAP, disponibles par défaut sous Windows XP (on peut supposer que la plupart des utilisateurs débutants disposeront de Windows XP) et disposant d'assistants de configuration simples (?) fournis par le système. Une autre alternative est d'inclure sur le firmware ou sur un site WWW, la possibilité de télécharger le programme OpenVPN et de disposer, sur ce même site, d'une interface automatisant l'essentiel de la configuration d'OpenVPN et fournissant directement le fichier de configuration (éventuellement en même temps que le programme).
*Une question récurrente est celle de la communication autour de l'infrastructure, et plus précisément s'il fallait communiquer tout de suite, afin de mobiliser de l'énergie pour le développement de l'infrastructure, quitte à communiquer autour d'un projet pas encore très concret ou bien attendre d'avoir une infrastructure en place avant de communiquer autour. Nous avons estimé qu'un compromis entre les deux, c'est-à-dire avoir un petit quelquechose avant de communiquer abondamment autour était souhaitable.
La question du remplacement du firmware fourni avec le [Linksys WRT54g|LinksysWRT54G] avec un autre firmware revenant souvent, ci-dessous une petite doc expliquant comment réaliser cette manipulation.
Ici on propose de flasher un firmware [OpenWRT|http://www.openwrt.org] mais le début des manipulations peut être utilisé pour le flashage d'un autre firmware.
L'intérêt d'installer un firmware tel qu'[OpenWRT|http://www.openwrt.org] est de bénéficier d'un certain nombre de fonctionnalités avancées, par exemple :
*la participation au développement du [firmware de Nantes-wireless|FirmwareNW] basé sur [OpenWRT|http://www.openwrt.org] :)
#le fait de flasher un autre firmware que celui d'origine __ANNULE LA GARANTIE DU MATÉRIEL___,
Le [WRT54g|LinksysWRT54G] utilise un chargeur de démarrage (bootloader) se trouvant sur une ROM (Read Only Memory, mémoire en lecture seule, non modifiable), assurant le chargement en mémoire puis l'amorçage d'un système (basé sur Linux, même dans le firmware d'origine) se trouvant sur un composant de mémoire flash (mémoire accessible en lecture/écriture, non volatile (conservée même si le routeur est mis hors tension), se comportant d'une manière similaire à celle d'un disque dur, mais de plus faible capacité (4 Mo. sur un WRT54g)).
Outre la mémoire flash, le [WRT54g|LinksysWRT54G] dispose d'une zone de stockage des paramètres du système : la ''nvram''. Cette nvram est constituée de variables modifiables par l'utilisateur, stockées de manière non volatile et contenant les paramètres du routeur, son adresse IP ou son SSID par exemple.
La nvram n'est pas modifiée lors du flashage d'un nouveau firmware. Les paramètres du routeur (stockés en nvram), l'adresse IP des ports ethernet LAN en particulier, seront donc conservés après les opérations de flashage.
Le [WRT54g|LinksysWRT54G] ne dispose d'aucun dispositif d'entrée-sortie direct et accessible (pas de clavier ni d'écran, pas de port console). De même, à la différence d'un ordinateur de bureau, il ne dispose d'aucun périphérique d'amorçage amovible (disquette, CDROM, etc) permettant de redémarrer le système en toute circonstance. Les seuls moyens de communication (accessibles) entre le [WRT54g|LinksysWRT54G] et l'extérieur sont les ports ethernet et le wifi.
Les ports ethernet (et le wifi, mais, bien que ce soit possible, il est plutôt déconseillé de tenter un flashage en passant par le wifi) constituent donc les seuls moyens d'injecter une nouvelle image de système sur la mémoire flash. Cependant, la gestion de ces ports ethernet (et de la carte wifi intégrée au [WRT54g|LinksysWRT54G]) est réalisée par le système se trouvant dans ce firmware. Le fait de flasher un mauvais firmware ou un firmware avec une configuration non adaptée (mettant des règles de firewall interdisant tout accès au routeur, par exemple) rend donc le routeur non accessible à travers les ports ethernet ou le wifi, rendant le routeur irrécupérable autrement qu'en le démontant (cf. remarque plus haut concernant le connecteur JTAG).
Une technique permet d'éviter ce risque : le chargeur de démarrage (bootloader) du [WRT54g|LinksysWRT54G] permet de charger lui-même un firmware. Ce chargeur de démarrage étant indépendant de tout firmware et étant lui-même écrit dans une ROM, il constitue un moyen sûr de pouvoir restaurer un système fonctionnel. Cependant, cette possibilité de restauration est conditionnée à la valeur à ''"on"'' de la variable ''boot_wait'' de la nvram, or, les [WRT54g|LinksysWRT54G] sont livrés avec la variable ''boot_wait'' à ''"off"'' par défaut.
Il est donc prudent (voire indispensable) de mettre la variable ''boot_wait'' à ''"on"'' avant toute tentative de flashage d'un firmware alternatif à celui fourni par Linksys. La nvram n'étant pas modifiée lors d'un flashage de système, la modification de la variable ''boot_wait'' n'est à réaliser qu'une seule fois, même en cas de flashages multiples.
Le problème est que le firmware installé par Linksys sur le [WRT54g|LinksysWRT54G] ne permet pas un accès direct à la nvram et ne permet pas de modifier directement la variable ''boot_wait''. Il est donc nécessaire de contourner le problème en utilisant un trou de sécurité présent dans certaines versions du firmware de Linksys, permettant de passer des commandes shell Linux directement au [WRT54g|LinksysWRT54G] et donc de paramétrer la variable ''boot_wait'' à ''"on"''. Ce trou de sécurité se trouve dans le formulaire permettant de diagnostique "ping" de l'interface d'administration du routeur.
Ce bug n'est cependant présent que sur les versions du firmware Linksys jusqu'à la version 3.01.3. Il existe d'autres bugs du firmware de Linksys permettant de passer des commandes shell linux au routeur dans d'autres versions, mais leur exploitation est différente et varie selon les versions.
Il est donc nécessaire, afin de pouvoir exploiter cette "fonctionnalité" de downgrader (mettre à jour le firmware avec une version inférieure à la version actuelle) le firmware avec un firmware comportant ce trou de sécurité.
Le chargeur de démarrage (bootloader) du [WRT54g|LinksysWRT54G] utilise le protocole ''tftp'' pour le transfert du firmware d'un ordinateur de bureau vers le [WRT54g|LinksysWRT54G]. Il est donc nécessaire de disposer, sur l'ordinateur de bureau, d'un client tftp. Il existe des clients tftp pour la très grande majorité des systèmes. Sous linux, il existe deux clients principaux : ''atftp'' (''Advanced TFTP client'') et ''netkit-tftp'' (''apt-get install tftp'' ou ''apt-get install atftp'' permettent d'installer l'un ou l'autre sur une Debian). Un client tftp est fourni en standard avec windows 2000 ou windows XP (TODO: compléter pour les autres systèmes).
!Téléchargements de firmware
*téléchargez l'image du firmware linksys version 3.01.3; celle-ci est disponible à l'adresse suivante :
extrayez de cette archive le fichier ''WRT54GV2_3.01.3_US_code.bin''.
*téléchargez également l'image correspondant à la version actuelle de votre firmware, si vous souhaitez réinstaller le firware d'origine. Cette image peut être accessible à partir de l'une des adresses suivantes :
téléchargez un firmware correspondant à votre version de routeur.
*vous pouvez télécharger tout de suite l'image du firmware [OpenWRT|http://www.openwrt.org] à l'adresse suivante :
!Configuration de l'adresse IP
Je vous recommande de paramétrer votre routeur à l'adresse (correspondant à celle d'origine), en effet, le chargement du firmware au moyen du chargeur de démarrage du [WRT54g|LinksysWRT54G] ne peut s'effectuer qu'avec cette adresse. Il est donc plus simple que votre routeur ait toujours la même adresse IP.
!!Downgrade du firmware vers un firmware Linksys version 3.01.3
Cette première étape consiste à charger une version antérieure du firmware Linksys, disposant du bug "ping.asp" décrit plus haut, afin de pouvoir exploiter ce bug pour mettre la variable ''boot_wait'' à ''"on"''.
J'ai utilisé un firmware version 3.03.2.fr dans mes exemples, mais les manipulations sont très similaires avec une autre version du firmware linksys.
cliquez sur le bouton ''Parcourir'' à coté du champ de saisie du fichier de mise à niveau et sélectionnez le fichier ''WRT54GV2_3.01.3_US_code.bin'' extrait de l'archive ''WRT54GV2_3.01.3_US_code.zip'' téléchargée à l'adresse ftp://ftp.linksys.com/pub/network/WRT54GV2_3.01.3_US_code.zip :
(l'interface de ce nouveau firmware est en anglais, vu qu'on a téléchargé une version US) (TODO: il existe une version française du firmware 3.01.3 quelquepart ?)
Vous devez alors voire apparaître l'interface de configuration du firmware 3.01.3. Vérifiez la version du firmware (en haut à droite de l'écran) :
Vous devez configurer une adresse IP statique à l'interface WAN (Internet) de votre routeur pour que le bug "ping.asp" fonctionne correctement. Pour celà, si votre routeur n'a pas d'adresse IP sur l'interface WAN, choisissez ''Static IP'' en face de ''Internet Connection Type'' dans l'onglet ''Basic setup'' :
Enfin, faites de même en saisissant le texte suivant dans le champ ''IP Address or Domain Name'' :
si ce n'est pas le cas, refaites les manipulations depuis la dernière saisie dans le champ ''IP Address or Domain Name'' et vérifiez que la version de votre firmware est bien la 3.01.3.
Une fois que vous avez vérifié que la variable ''boot_wait'' avait la valeur ''"on"'', vous pouvez mettre votre routeur hors tension.
!!Flashage du firmware [OpenWRT WhiteRussian|http://www.openwrt.org]
Vérifiez que votre routeur est hors tension (transformateur débranché de la prise ou connecteur d'alimentation débranché du routeur).
(faites le deux fois pour avoir deux fenêtres). Dans une des deux fenêtres ''cmd'', tapez la commande ''cd'' suivie du chemin d'accès au répertoire où vous avez téléchargé l'image ''openwrt-wrt54g-squashfs.bin'', téléchargée depuis http://downloads.openwrt.org/whiterussian/rc4/bin/openwrt-wrt54g-squashfs.bin ; vous pouvez éventuellement utiliser un "glisser-déposer" avec l'icone d'un "explorateur windows" représentant le répertoire dans lequel se trouve le fichier ''openwrt-wrt54g-squashfs.bin'' vers la fenêtre ''cmd''. Vérifiez la présence du fichier ''openwrt-wrt54g-squashfs.bin'' dans ce répertoire au moyen de la commande
Celle-ci doit vous afficher en boucle le message ''Délai d'attente de la demande dépassé.''
Le délai entre le moment où vous branchez le routeur et le moment où vous validez la commande dépend pas mal de la vitesse de votre ordinateur de bureau. Dans le cas de celui à partir duquel j'ai fait les captures (un Pentium II 400 MHz sous windows 2000 pro), j'ai dû m'y reprendre à plusieurs fois avant que ça fonctionne, pour finalement valider la commande ''tftp'' avant de brancher le routeur.
La commande ''ping'' doit vous afficher ''Réponse de : ...'' pendant un petit moment; c'est en fait dès que le premier message ''Réponse de : ...'' apparaît que la commande ''tftp'' doit être validée :
Vous devez voir apparaître le message ''Transfert réussi''. Une fois ce message obtenu, attendez quelques minutes; surtout, __NE COUPEZ PAS L'ALIMENTATION DE VOTRE ROUTEUR__, car, à ce moment là, il est en train d'initialiser la flash puis redémarre sur le nouveau firmware.
car lors du redémarrage sur le nouveau firmware, l'adresse IP paramétrée dans la nvram (rappel: le fait de flasher un nouveau firmware sur le routeur n'affecte pas la nvram) est utilisée.
!!Modification du mot de passe et reconnexion en ssh
Vous devez saisir deux fois votre mot de passe afin d'éviter les fautes de frappe (le mot de passe n'est pas affiché pendant la saisie). Laissez la fenêtre ''cmd'' dans lequel votre ''telnet'' est exécuté de côté, sans la fermer (de façon à pouvoir resaisir un autre mot de passe si vous n'arrivez pas à vous reconnecter avec votre mot de passe), puis téléchargez le client ssh ''putty'' à l'adresse suivante :
Vous aurez probablement une boite de dialogue ''PuTTY Security Alert'' un peu inquiétante au premier abord; en fait, ''putty'' est un client ssh (Secure Shell), qui, comme son nom l'indique, tente d'établir une connexion sécurisée avec votre routeur; or, au premier lancement de ''putty'', celui-ci n'a aucun moyen de vérifier lui-même l'identité (numérique) de votre routeur, il vous affiche donc cette boite de dialogue, vous demandant de vérifier vous-même cette identité. Validez simplement cette identité en cliquant sur le bouton ''Oui'' :
Lieu à définir.
[Ajouter une antenne sur une PCMCIA Hercules HWGPCMCIA-54|http://mtanski.free.fr/index.php?2006/04/01/7-modification-de-ma-carte-hercule-pcmcia-wifi]
À l'origine, cette réunion devait être une assemblée générale. Le nombre de personnes présentes n'était cependant pas suffisant pour que l'AG ait lieu; ce nombre insuffisant est peut-être dû à la date (pendant un week-end prolongé). Nous avons donc modifié l'ordre du jour et tenu l'ordre du jour suivant :
Afin d'améliorer celle-ci, nous estimons qu'il est important d'avoir le plus rapidement possible un firmware et une infrastructure opérationnels, ainsi que des actions de communications, auprès d'associations de quartiers, ou encore en publiant un tract (en noir sur papier jaune).
Pour améliorer l'assiduité aux réunions, nous avons proposé de publier un calendrier, avec les dates et les lieux prévus à l'avance. Nous avons abordé la possibilité de consacrer un jour fixe tous les mois, mais avec la difficulté de tenir compte des contraintes de chacun; nous n'avons toutefois pas complètement écarté cette option.
Nous avons enfin proposé la rédaction de fiches techniques et la tenue de réunions techniques (paramétrage, mise en réseau, construction d'antenne, expérimentation sur le terrain, etc), avec un calendrier de réunions techniques. Peut-être proposer une réunion en partenariat avec [Linux-Nantes|http://www.linux-nantes.org].
Afin de proposer rapidement un firmware (voir point précédent), nous proposons de commencer par "relooker" un firmware existant. Nous pouvons, pour celà, nous baser sur webif d'[Openwrt|http://wiki.openwrt.org/FrontPage].
La demande des organisateurs de la manifestation est ici de réaliser une couverture en réseau sans fil de l'ensemble du site de la manifestation, soient 600 mètres en linéaire environ, le long du quai François Mitterand, du pont Anne-de-Bretagne jusqu'au niveau de la rue Lanoue. Ce réseau sera utilisé par les autres exposants pour leurs démonstrations.
Ces exposants ont besoin d'un accès Internet. [Mégalis|http://www.megalis.org/], partenaire de Nantes-Métropole et partenaire de la manifestation, promose de nous mettre à disposition cet accès Internet, dans un des points d'accès métropolitains raccordés directement au réseau Mégalis. Ces points se situant de l'autre côté du bras de la Madeleine, il sera nécessaire d'envisager une liaison au dessus de la Loire afin de réaliser ce raccordement.
*démonstration des possibilités du réseau sans fil et d'un modèle de réseau alternatif, à l'initiative de Nantes-Wireless,
La couverture du site de la manifestation (quai F. Mitterand) peut être réalisée au moyen d'une douzaine (un tous les 50 mètres, environ) de point d'accès de type [Linksys WRT54g|LinksysWRT54G], équipés du firmare [FreiFunk|InstallationDeFreiFunk], dont certains peuvent être interconnectés au moyen de cables ethernet et d'autres interconnectés en [WDS|ConfigurationBridge]. Le protocole de routage dynamique OLSR permet à l'ensemble du réseau ainsi constitué d'acheminer les données de manière transparente entre n'importe quels points du réseau. Nous avons déjà [testé| FreiFunkOlsrWDS] cette infrastructure localement avec succès.
Une autre possibilité : comme le site semble faire une sorte de V inversé, deux réseaux sans fil, avec 2 x SD15 de chaque côté, et 2 x WRT reliés entre eux en ethernet. Un canal de chaque côté et hop !
* : serveur d'authentification wifidog
Nous prévoyons d'utiliser une infrastructure basée sur le portail captif [WifiDog|InstallationDeWifidog], dans une configuration similaire à ce qui a été fait par l'association [Puteaux-Wireless|http://www.puteaux-wireless.org/]. La mise en place du serveur d'authentification est [présentée séparément|InstallationServeurWifidog].
Les points d'accès nw01, nw02, nw03, nw04, nw05, nw06, nw07, nw10, nw11, nw12 et nw13 sont configurés et opérationnels.
!Adresses MAC wifi des WRT54g :
L'assemblée générale a une nouvelle fois été annulée et reportée à une date ultérieure, faute d'un nombre suffisant de membres présents.
Nous avons réaffirmé, lors de cette rencontre un certains nombre de points que nous avions évoqués dans ce sens lors de la [dernière réunion|CompteRenduDu15-04-2006] :
Le [forum|http://www.nantes-wireless.org/forum] apporte des réponses dans le deuxième cas, mais probablement pas assez dans le premier. De plus, nous ne suscitons pas suffisament l'intérêt du public pour trouver des personnes prêtes à faire la démarche de développer le réseau.
*mettre en place rapidement une infrastructure : nous proposons de nous inspirer de ce qui a été [mis en place|http://www.puteaux-wireless.org/wiki/CommentInstallerUnNoeudWifi] par [Puteaux Wireless|http://www.puteaux-wireless.org/], en particulier en adaptant rapidement le firmware [FreiFunk|http://www.puteaux-wireless.org/wiki/FreiFunk] ainsi que le portail captif [WifiDog|http://www.puteaux-wireless.org/wiki/InstallationDeWifiDog]. Les deux intérêts principaux de cette démarche sont la simplicité de déploiement pour les utilisateurs et la tenue à jour automatique de la liste des points d'accès (NDR: voir la [liste dynamique de Puteaux-Wireless|http://auth.puteaux-wireless.org/node_list.php]).
Nous avons également rappelé, lors de cette réunion que l'association Nantes-Wireless, dans son principe et dans ses statuts cherchait à développer un modèle de réseau alternatif, libre et non commercial. Dans ce cadre, nous ne cherchons pas à proposer des prestations de services à titre commercial ou à devenir fournisseur d'accès Internet commercial. Nous pouvons cependant répondre ponctuellement et à titre gratuit, à des demandes spécifiques d'autres associations ou d'institutions, en particulier lors de l'organisation de manifestations.
Nous avons été sollicités pour participer à l'installation du réseau sur le lieu de jour et nous bénéficions d'un stand sur ce lieu du jour pour présenter notre activité.
L'[association Ecossolies|http://www.ecossolies.fr] bénéficie d'un soutien important de collectivités territoriales telles que [Nantes-Métropole|http://www.nantesmetropole.fr], du [Conseil Général de Loire-Atlantique|http://www.cg44.fr], et du [Conseil Régional des Pays-de-la-Loire|http://www.paysdelaloire.fr/], par exemple.
Nous bénéficions d'un stand sur la manifestation, à côté du stand de [Ping|http://www.pingbase.net/spip/actualites.php3]. Les organisateurs d'Ecossolies nous fournissent, pour ce stand, un PC portable et tout le matériel, en carton recyclable, permettant de réaliser le stand (un banc, une table, un panneau d'affichage, le tout en carton épais). Nous pourrons conserver ce stand par la suite (NDR: mais pas le PC portable :-)).
Lors de cette réunion, nous avons fait le point sur la réalisation de la liaison qui nous permettra de récupérer l'accès Internet fourni par [Mégalis|http://www.megalis.org]. Plusieurs plans ont été faits pour déterminer les extrémités de cette liaison. Le plus simple techniquement serait de bénéficier d'un accès ADSL, sur une des deux lignes téléphoniques disponibles directement sur le lieu de la manifestation. Cette solution peut être envisagée comme solution de secours, mais n'est pas suffisante pour couvrir complètement les besoins de la manifestation, pour lesquels du streaming audio et vidéo est demandé, nécessitant donc un débit montant important. Les autres possibilités sont d'établir une liaison jusqu'à un des points d'accès métropolitains (PAM) de Mégalis. Cependant ceux-ci sont installés, nord Loire, en sous-sol et pas directement à vue de la manifestation. Il sera donc nécessaire, pour s'y raccorder, d'utiliser un réseau filaire, éventuellement complété en wifi. Plusieurs sites nord Loire et sur l'Ile Beaulieu pour accueillir des installations permettant de raccorder le site de la manifestation au PAM. Nous prévoyons de visiter ces sites mercredi prochain (17 mai) à partir de 14h.
Nous prévoyons, pour [Ecossolies|Ecossolies2006], d'utiliser le portail captif [WifiDog|http://www.puteaux-wireless.org/wiki/InstallationDeWifiDog] tel que décrit plus haut.
Enfin, l'association Nantes-Wireless doit rédiger une lettre d'engagement auprès d'Ecossolies afin, entre autres, de prévoir l'assurance du matériel mis à disposition.
!!!Installation de wifidog
Lors des [dernières réunions|CompteRenduDu13-05-2006] nous avons proposé de mettre en place une infrastructure basée sur l'utilisation de points d'accès munis du portail captif [wifidog|http://dev.wifidog.org/] développé par [Île sans fil|http://www.ilesansfil.org/].
Le principe de ce portail est que chaque point d'accès dispose d'un module, appelé [''gateway''|http://dev.wifidog.org/wiki/Features#GatewayCurrent] permettant de filtrer les accès réseau en les renvoyant éventuellement à une page permettant d'authentifier les utilisateurs lors de leur premier accès. L'authentification des utilisateurs se fait, à travers cette ''gateway'' vers un ou plusieurs [serveur(s) d'authentification|http://dev.wifidog.org/wiki/Features#AuthserverCurrent].
Nous nous sommes inspirés, pour cette infrastructure, par [ce qu'a développé|http://www.puteaux-wireless.org/wiki/CommentInstallerUnNoeudWifi] l'[association Puteaux-Wireless|http://www.puteaux-wireless.org/].
L'installation d'un serveur d'authentification wifidog est détaillée [à part|InstallationServeurWifidog].
__Note :__ nous avons commencé un PluginFreifunkWifidog afin de faciliter la configuration et l'administration de wifidog.
!Installation du firmware FreiFunk
Nous avons installé la gateway wifidog sur des points d'accès WRT54g disposant du firmware FreiFunk. Voir les [documents concernant l'installation de FreiFunk|InstallationDeFreiFunk] pour plus de précisions sur l'installation et la configuration de ce firmware.
!Installation et configuration de la gateway wifidog
Il est cependant nécessaire pour installer wifidog ainsi que le WRT54g ait une connexion internet utilisable...
Wifidog nécessite des paquetages supplémentaires qui peuvent être installés au moyen des commandes suivantes :
L'installation se fait ensuite sans trop de difficulté en téléchargeant le paquetage [wifidog_1.1.3_beta4-1_mipsel.ipk|http://dev.geeek.org/openwrt/OpenWrt-SDK-Linux-i686-1/bin/packages/wifidog_1.1.3_beta4-1_mipsel.ipk], et en l'installant. C'est possible de le faire au moyen de l'interface WWW, mais nous l'avons fait en ssh sur le WRT54g, au moyen de la commande suivante :
ipkg install http://dev.geeek.org/openwrt/OpenWrt-SDK-Linux-i686-1/bin/packages/wifidog_1.1.3_beta4-1_mipsel.ipk
Pour sa configuration, nous avons essentiellement suivi les commentaires du fichier de configuration ''/etc/wifidog.conf''. Voici la liste des modifications effectués sur le paramétrage par défaut :
Le paramètre ''[GatewayID|InstallationDeWifidog]'' ne doit pas être renseigné : Wifidog détermine automatiquement un identifiant à partir de l'adresse MAC de l'interface configurée comme ''[GatewayInterface|InstallationDeWifidog]'' (l'identifiant correspond à l'adresse ethernet sans les :).
Cette interface désigne l'interface sur laquelle les clients du point d'accès (noeud) vont se connecter. Dans notre cas, ''eth1'' désigne le wifi (les 4 ports LAN représentent l'interface ''br0'', qui, tel qu'est paramétré FreiFunk et contrairement au paramètrage par défaut d'OpenWRT, ne contient pas l'interface wifi; le point d'accès ne fait donc pas pont (switch) entre le wifi et le LAN).
Ici, on renseigne le serveur d'authentification; la sous-directive ''Path'' indique le chemin d'accès racine du serveur d'authentification wifidog (paramètre ''SYSTEM_PATH'' du fichier ''config.php'' du serveur d'authentification).
FirewallRuleSet global {
FirewallRule allow to
Cette section permet aux utilisateurs de naviguer sur le réseau local ( sans authentification. C'est un moyen de contournemen simple du problème exposé dans [#wifidog_olsr].
FirewallRuleSet validating-users {
FirewallRule allow udp port 67
FirewallRule allow tcp port 67
FirewallRule allow udp port 53
FirewallRule allow tcp port 53
FirewallRule allow tcp port 80
FirewallRule allow tcp port 110
FirewallRule allow tcp port 143
FirewallRule allow tcp port 220
FirewallRule allow tcp port 443
FirewallRule allow tcp port 993
FirewallRule allow tcp port 995
FirewallRule block to
FirewallRuleSet known-users {
FirewallRule allow to
Les utilisateurs authentifiés ont le droit de tout faire...
!Démarrage de la gateway wifidog
Wifidog démarre automatiquement au démarrage du point d'accès. Il peut-être démarré explicitement au moyen de la commande
killall wifidog
__Note :__ si vous modifiez des paramètres dans ''/etc/wifidog.conf'' arrêtez wifidog comme indiqué ci-dessus, attendez quelques secondes, puis redémarrez-le comme indiqué ci-dessus.
En surveillant les connexions sur le serveur d'authentification (ce qui peut être fait au moyen de la commande suivante :
0880&sys_memfree=4376&sys_load=0.00&wifidog_uptime=6409 HTTP/1.0" 200 4 "-" "WiF
au moment du démarrage de la gateway wifidog sur le point d'accès. Le nouveau noeud doit apparaître dans la liste des noeuds déployés sur le réseau, accessible sur le serveur d'authentification (URL http://serveur/node_list.php ou bien lien ''Status technique complète des noeuds (incluant les noeuds non déployés)'' :
!#[Wifidog + OLSR|wifidog_olsr]
La gateway wifidog effectue les filtrages et les redirections en se basant sur les adresses ethernet (adresses MAC) des clients se connectant et s'authentifiant sur les points d'accès. Un problème se pose dans le cas suivant :
le ''point d'accès 1'' doit avoir une gateway wifidog pour pouvoir authentifier ses clients (''client 2'' par exemple); cependant, les paquets provenant d'un client (''client 1'') connecté à un point d'accès (''point d'accès 2'') lui-même connecté au premier point d'accès (''point d'accès 1'') arriveront à ce point d'accès avec comme adresse ethernet source l'adresse ethernet du point d'accès (''point d'accès 2'') et non celle du client (''client 1''). La gateway wifidog du premier point d'accès (''point d'accès 1'') filtrera donc ces paquets même si le client (''client 1'') est correctement authentifié sur son point d'accès (''point d'accès 2'').
!Authentification vers plusieurs serveurs d'authentification
Comment un noeud peut-il être membre de plusieurs réseau, avec chaque réseau ayant un ou plusieurs serveur d'authentification ?
Le gateway wifidog semble utiliser le premier serveur d'authentification déclaré; si celui-ci n'est pas disponible alors il essaie le deuxième et ainsi de suite...
Il faudrait plutôt que lors d'une authentification, le premier serveur soit interrogé puis, s'il ne connait pas l'utilisateur, le second soit interrogé et ainsi de suite...
Le firmware [FreiFunk|http://freifunk.net/wiki/FreifunkFirmwareEnglish] a été développé par la communauté FreiFunk, basée à Berlin. Ce firmware permet de construire facilement un réseau communautaire, de type ''mesh'', en particulier en utilisant le protocole de routage dynamique [OLSR|OLSR]. Ce firmware est basé sur [OpenWRT|http://www.openwrt.org]. Il dispose d'une interface de configuration WWW très complète et traduite en français.
*[Installation de WifiDog|InstallationDeWifidog]
*[Présentation en anglais|http://freifunk.net/wiki/FreifunkFirmwareEnglish]
__Attention :__ les manipulations décrites ici sont un peu expérimentales et sont probablement en contradiction avec ce qui a pu être publié sur WDS; il y a donc à peu près aucune chance de pouvoir faire communiquer un noeud configuré comme indiqué ici avec autre chose qu'un autre noeud configuré comme indiqué ici...
L'origine de ces manipulations consistait à faire fonctionner un ensemble de points d'accès disposant de FreiFunk, en utilisant le routage dynamique OLSR, avec un ensemble de clients sans-fil, disposant de cartes diverses et variées. FreiFunk est normalement configuré pour fonctionner en mode ad-hoc. Ce mode est adapté au protocole OLSR. Cependant, nous avons rencontré des difficultés avec certaines cartes ne fonctionnant pas correctement en mode ad-hoc. Les points d'accès [WRT54g|LinksysWRT54G] fonctionnent, eux, parfaitement en mode ad-hoc.
*Un PC portable linux debian, noyau 2.6.15, avec une carte Netgear MA401RA (prism 2) avec les drivers [orinoco_cs|http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Orinoco.html] et [hostap_cs|http://hostap.epitest.fi/], et une carte 3com 3CRWE154A72 avec les drivers [madwifi|http://madwifi.org/].
ainsi que [4 points d'accès avec FreiFunk|InstallationDeFreiFunk] configurés en mode ad-hoc.
Plusieurs réseaux ad-hoc (''IBSS'' pour ''Independant Basic Service Set'') peuvent utiliser le même canal ([BSSID partitioning|http://bombolong.aisbl.org/index.php/BSSID_partitioning]). Ces réseaux sont identifiés par
*un ''(E)SSID'' ((Extended) Service Set IDentifier), ''nantes-wireless.org'' dans notre cas), identifiant le réseau indépendamment de ses participants sous la forme d'une chaine de caractères,
*un ''BSSID'' (Basic Service Set Identifier, ''02:ca:ff:ee:ba:be'' dans notre cas), identifiant une ''cellule'' du réseau sous la forme d'un nombre de 48 bits. En mode infrastructure, cette adresse correspond à l'adresse MAC du point d'accès.
Le problème observé est que les deux portables ne permettent pas de fixer le ''BSSID''; sous linux, il peut être configuré avec la commande
iwconfig dev ap 02:ca:ff:ee:ba:be
Le mode WDS consiste à établir une liaison point-à-point entre des points d'accès. Cette liaison simule une nouvelle interface ethernet virtuelle sur chaque point d'accès. Le fonctionnement par défaut du WDS consiste à inclure cette liaison dans le switch logiciel (interface ''br0'' sur les WRT54g) du point d'accès afin de permettre une commutation transparente des trames entre clients se trouvant sur les différents points d'accès, comme si ces clients étaient associés au même point d'accès.
*elle impose le recours au protocole 802.1d (''Spanning Tree Protocol'' ou ''STP'') lorsqu'il y a plus que deux points d'accès, afin de déterminer les chemins optimaux entre les noeuds,
*les protocoles de routage dynamiques (tels que OLSR) sont plus efficaces lorsqu'il y a un nombre de noeuds important,
FEYE=$(nvram get ff_fisheye)
# on supprime l'interface du switch logiciel (le driver wifi ajoute automatiquement
# liaisons WDS sont par définition point-à-point. Une adresse de broadcast unique
# est utilisé pour simplifier.
# ajout d'un paragraphe de configuration qui sera intégré dans /etc/olsrd.conf par
Quelques modifications supplémentaires sont à faire pour que ce script fonctionne :
*vérifier que le fichier ''/etc/local.olsrd.conf'' est accessible en écriture :
__TODO :__ scanner périodiquement le réseau (''wl scan'' / ''wl scanresults'') pour déterminer automatiquement les points d'accès voisins (le problème c'est que cette opération ne peut pas se faire en mode point d'accès, et que ça impose donc de passer temporairement l'interface wifi en mode client, ce qui a pour effet de désassocier les clients).
__TODO 2 :__ faire une interface WWW pour configurer tout ça...
Il est tentant de mettre la même adresse IP pour toutes les interfaces WDS (ainsi que l'interface wifi), mais ça ne semble pas fonctionner; olsrd semble malheureusement identifier les interfaces au moyen de leur adresse IP... Il n'y a pas ici d'indication de masque pour ces adresses. Les liaisons WDS étant point-à-point, un masque /32 est utilisé. Les adresses de broadcast sont
*passer l'interface wifi en mode point d'accès (!)
*redémarrer le routeur une fois que tout ceci est fait. Faire de même avec ses voisins. Nous avons utilisé la configuration suivante avec quatre WRT54g :
La configuration OLSR de Freifunk pour la mise en place de cette topologie pose quelques problèmes, notamment pour distribuer les routes LAN. Pour arriver à nos fins, nous avons dû mettre en place la configuration suivante :
De plus il a fallu modifier le script de lancement de olsrd : /etc/init.d/S53olsrd. Au niveau des lignes 220, il faut changer le script de :
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 1000
7: wds0.49153: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
8: wds0.49154: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
9: wds0.49155: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
*les interfaces WDS ont un masque /32, et, afin de distinguer l'adresse de broadcast de l'adresse IP du noeud, il est nécessaire d'utiliser une autre adresse que l'adresse associée à l'interface,
*certaines implémentation du protocole IP (c'est au moins le cas pour celle du noyau linux 2.6.15) ne renvoient des paquets à des processus en attente sur un port que si les paquets ont soit une adresse IP unicast associée à l'interface d'arrivée du paquet, soit une adresse multicast, soit une adresse broadcast. Or, en anticipant sur la possibilité de mobilité des noeuds dans le réseau, on choisit une adresse de broadcast unique afin de ne pas avoir à modifier les paramètres d'adresses IP lors du déplacement d'un noeud. Ceci peut être fait sur FreiFunk en modifiant le script ''/sbin/ifup'', en remplaçant la ligne
Il faut avant ça vérifier que ''/sbin/ifup'' est accessible en écriture :
__Note :__ ici, le réseau est complètement connecté (chaque point d'accès est interconnecté à tous les autres); ça n'est bien entendu pas une obligation, de même, il est possible que ces interconnexions évoluent dynamiquement (par exemple si les points d'accès se déplacent ou si un obstacle metallique vient se placer entre deux points d'accès). Dans le cas d'une perte de connectivité entre deux points d'accès, les interfaces WDS restent visibles, mais plus aucun trafic, et notamment aucun message OLSR ne passe plus sur la liaison WDS rompue. OLSR détecte alors automatiquement que la liaison est désactivée et ajuste automatiquement la topologie.
Ici le client OLSR est un PC portable linux debian sarge, avec un noyau 2.6.15, disposant d'une carte wifi 3com 3CRWE154A72 avec les drivers [madwifi|http://madwifi.org/]. sur ce portable sont installés olsrd et olsrd-plugins version 0.4.10, téléchargés à partir de http://meshnode.org/downloads/deb-pkgs/ .
Le fichier de configuration ''/etc/olsrd.conf'' est comme suit, reprenant les mêmes valeurs que celui des WRT54g :
Une simple activation de l'interface wifi (''ath0'' ici) et son association avec une adresse IP (/32 avec une adresse broadcast de, par exemple :
doit suffire à activer l'interface pour olsr, ce qui doit se traduire par un message du type ''Adding interface ath0'' dans le syslog. Au bout de quelques secondes, les routes doivent apparaître :
Pour avoir des annonces OLSR sur le LAN et sur le wifi, tout en ayant LAN et wifi sur des interfaces séparées (sans bridge), il suffit de mettre des adresses différentes en veillant que le préfixe (adresse & netmask) du LAN soit *inclus* dans le préfixe du wifi (par exemple wifi = et lan =
dans le fichier ''olsrd.conf'' pour celà), le graphe représentant la topologie découverte est accessible sur le port TCP 2004. Ce graphe est dessinable au moyen de la commande ''dot'' de ''graphviz'' (sur une debian, installer les paquetages ''socat'' (pour se connecter en TCP et récupérer le source ''dot''), ''graphviz'' (pour dessiner le graphe) et ''imagemagick'' (pour afficher le dessin). Les commandes
permettent d'afficher en permanence la topologie du réseau. Un exemple de dessin :
wiviz ne dessine pas la topologie OLSR mais les caractéristiques des liaisons wifi.
!!!Installation d'un serveur d'authentification wifidog
Ce document décrit l'installation du serveur d'authentification [wifidog|http://dev.wifidog.org/] accessible à l'adresse http://auth.nantes-wireless.org/. Un [autre document|InstallationDeWifidog] décrit l'installation d'une passerelle (''gateway'', correspondant à un portail captif) sur un WRT54g équipé du firmware FreiFunk.
!!État du serveur d'authentification http://auth.nantes-wireless.org/
*2 juin 2006 : le relai de messagerie était mal configuré, il est relancé; maintenant, le serveur doit être capable d'envoyer les messages de validation d'inscriptions.
!!Installation du serveur d'authentification
Nous avons suivi la [documentation d'installation de wifidog sur une distribution debian|http://dev.wifidog.org/wiki/doc/install/debian] pour l'installation du serveur d'authentification, et la [documentation d'installation de wifidog indépendante de la distribution|http://dev.wifidog.org/wiki/doc/install/auth-server] pour sa configuration.
Comme indiqué, nous avons utilisé une ''debian testing''. Nous avons installé ''wifidog-auth-1.0.0_m2''.
L'installation s'est passée comme indiqué dans la [documentation|http://dev.wifidog.org/wiki/doc/install/debian] et sans trop de soucis jusqu'au démarrage du script __install.php__.
Nous avons rencontré le premier problème juste après la validation du mot de passe de l'administrateur. À ce moment-là, le script ''install.php'' semblait boucler sur la page demandant le nom, le mot de passe, sa confirmation et l'adresse e-mail de l'administrateur, lorsqu'on activait le bouton ''Next''. Le problème a pu être résolu en utilisant l'URL http://serveur/racine-wifidog/install.php?page=toc
Nous avons ensuite observé un autre problème lors de l'accès à la page d'accueil (http://serveur/racine-wifidog/index.php) du serveur d'authentification : les paramétres de localisation (permettant d'avoir l'interface en français) échouaient, avec un message d'erreur ''Warning in classes/Locale.php : Unable to setlocale() to fr'', et ce, malgré l'installation du paquetage debian ''locales'' et la génération des locales pour fr_FR@UTF-8, fr_FR@ISO-8859-1 et fr_FR@ISO-8859-15. Nous avons résolu ce problème au moyen des commandes suivantes :
Enfin, nous avons modifié le chemin de la racine du serveur d'authentification; par défaut, tel qu'indiqué dans la documentation, celui-ci se trouve à l'URL http://serveur/wifidog-auth-1.0.0_m2/wifidog/ . Nous l'avons modifié de façon à ce qu'il se trouve à la racine du site, en remplaçant
DocumentRoot /var/www/wifidog-auth-1.0.0_m2/wifidog/
dans le fichier ''/etc/apache2/sites-enabled/000-default'', et
define('SYSTEM_PATH', '/wifidog-auth-1.0.0_m2/wifidog/');
define('SYSTEM_PATH', '/');
dans le fichier ''/var/www/wifidog-auth-1.0.0_m2/wifidog/config.php''. Le serveur d'authentification est alors accessible à partir de la racine du site après un redémarrage d'apache2 au moyen de la commande
Nous avons également modifié le script ''/var/www/wifidog-auth-1.0.0_m2/wifidog/cron/cleanup.php'' en remplaçant la première ligne
Le serveur d'authentification doit être capable d'envoyer des mails de confirmation de l'inscription des utilisateurs; l'installation de PHP5 sur debian testing utilise la commande ''sendmail'' disponible sur le système pour ça (voir ''/etc/php5/apache2/php.ini''). Bien que le serveur ''exim'', installé par défaut sur debian puisse remplir ce rôle, nous l'avons remplacé par ''postfix''.
!Mise à jour du serveur d'authentification
Afin de corriger un certain nombre de problèmes sur le serveur d'authentification, et bénéficier de nouvelles fonctionnalités (interface googlemap par exemple) nous l'avons mis à jour en utilisant la version de développement disponible sur le serveur ''subversion'' de wifidog.
Ensuite, l'installation de la dernière version à jour de wifidog se fait au moyen des commandes :
mkdir /var/www/wifidog-svn
cd /var/www/wifidog-svn
svn checkout https://dev.wifidog.org/svn/trunk/wifidog-auth
Nous avons choisi de créer un nouveau répertoire afin de ne pas risquer de mélanger des versions différentes des fichiers. Nous avons effectué cette mise à jour le 22 mai 2006. L'arborescence obtenue par ''svn'' pourra cependant être maintenue à jour par la suite au moyen des commandes
cd /var/www/wifidog-svn
svn update wifidog-auth
Le chemin d'accès de base de cette nouvelle version étant en dehors de l'arborescence du site WWW (nous avions modifié la racine du site WWW lors de l'installation de la version précédente de wifidog), nous devons modifier cette racine; dans le fichier /etc/apache2/sites-enabled/000-default, il faut remplacer la ligne
DocumentRoot /var/www/wifidog-auth-1.0.0_m2/wifidog/
DocumentRoot /var/www/wifidog-svn/wifidog-auth/wifidog/
afin que la racine du site corresponde à cette nouvelle version. L'activation du script d'installation (http://serveur/install.php) permet de vérifier que les dépendances sont correctes et permet d'effectuer automatiquement la mise à jour de la base de données. L'opération de mise à jour nous a pris en tout une quinzaine de minutes (contre une demi-journée pour la première installation).
Nous avons édité le fichier ''/var/www/wifidog-svn/wifidog-auth/wifidog/config.php'' pour y intégrer les modifications suivantes :
define('SYSTEM_PATH', '/');
define('DATE_TIMEZONE', 'Europe/Paris');
define('DEFAULT_LANG', 'fr_FR');
La première modification permet d'indiquer explicitement le chemin d'accès de la racine du site (il y a maintenant une détection automatique, mais elle n'a pas fonctionné dans notre cas). La deuxième modification permet de spécifier le fuseau horaire (par défaut, c'est ''Canada/Eastern'') et les deux autres permettent d'éviter les problèmes de localisation, en forçant l'utilisation de la locale ''fr_FR'' indépendamment de ce que demande le terminal client WWW.
__Note 1 :__ pour l'instant ce serveur d'authentification n'est pas encore publiquement accessible; il le sera dès que nous aurons trouvé un endroit où l'héberger....
__Note 3 :__ Le serveur d'authentification pourrait s'inscrire dans une infrastructure nationale, en discussion en ce moment sur le [forum de la fédération|http://forum.wireless-fr.org/viewforum.php?id=14].
*Le serveur d'authentification dont la configuration est expliquée ici est accessible à l'adresse
*Un serveur d'authentification pour l'ensemble de la [fédération wireless-fr|http://www.wireless-fr.org] est accessible à l'adresse
*Il est nécessaire de créer une clé d'accès à Google Maps à l'adresse [http://www.google.com/apis/maps/|http://www.google.com/apis/maps/]. Une clé n'est valable que pour un domaine DNS donné (Google Maps vérifie le champ ''HTTP referer'' de l'entête HTTP qui est envoyée à son serveur). Cette clé doit être entrée dans l'interface d'administration du serveur (administration -> serveur).
*Les informations de géolocalisation (longitude et latitude) des points d'accès sont à rentrer dans les paramètres des noeuds. Il est possible d'utiliser la carte d'[Infosports|http://www.infosports.com/m/map.htm] pour déterminer précisemment ces coordonnées. __Note :__ la carte d'[Infosports|http://www.infosports.com/m/map.htm] affiche la longitude puis la latitude, alors que Wifidog demande la latitude puis la longitude.
!Patchs non-officiels
psql -U wifidog -h localhost wifidog
en remplaçant ''ec65bcbdc6c0181b6a1a399d1944745f'' par l'identifiant indiqué dans le message d'erreur.
* Sensibiliser le public sur les avantages et inconvénients des technologies sans-fil.
*Portail captif Wifidog.
*Firmware Freikfunk modifié à la sauce Nantes Wireless.
* MatérielWifi de l'asso: 2WRT + paraboles + 6 rallonges
*lundi 26 : installations points d'accès premier étage, configuration des équipements de l'université
! Couverture sans-fil de l'Olympic
* 2 Linksys sous firmware OpenWRT
!!Plugin de configuration de Wifidog pour l'interface d'administration de FreiFunk
Cette page décrit un plugin de configuration de [WifiDog|InstallationDeWifidog] pour l'interface d'administration de FreiFunk. Ce plugin n'est pour l'instant pas complètement fonctionnel. Voir ci-dessous pour les fonctionnalités disponibles et les fonctionnalités manquantes. Il est accessible sous la forme de [paquetage ipkg|] et de [sources|]. Vous pouver l'installer en téléchargeant le [paquetage ipkg|] et en le chargeant via l'interface d'administration de FreiFunk (administration->paquetages); normalement, une nouvelle entrée ("Wifidog") doit apparaître dans le menu d'administration.
Installation de wifidog|
Affichage des paramètres globaux|
Affichage des serveurs d'authentification|
Modification des paramètres globaux|
Modification des serveurs d'authentification|
Pré-configuration de serveurs d'authentification|
*2006-06-18 [version 0.2|]:
**correction d'un bug dans le Makefile : les scripts générés n'étaient pas exécutables
**ajout des serveurs d'authentification dans la page de paramètres; la prise en compte des nouveaux paramètres n'est pas encore écrite.
*2006-06-05 [version 0.1|]:
Une personne viendra auprès de chaque stand avec un micro HF afin de réaliser une interview de présentation de chaque association présente. Des correspondants locaux de journaux, de chaines de radio et/ou de télévisions ont été prévenus.
Des affiches et des flyers annonçant le forum ont été distribués aux membres d'associations présents lors de la réunion du 7 septembre.
Nous partagerons un stand avec [Linux Nantes|http://www.linux-nantes.org]. Nous présenterons les activités de l'association, et pourrons faire des démonstrations de réseau sans fil, étant donné que nous aurons un réseau avec accès internet sur place.
*notre affiche jaune (qu'a faite Hooligan0),
Nous avons prévu de profiter de l'occasion de nous rencontrer pour avancer les développements des projets de l'association, par exemple travailler sur :
*allègement du firmware : nettoyage de l'interface, nettoyage des variables de la nvram,
Nous envisageons de mettre un accès réseau sans fil sur place. À cette fin, nous avons eu un soutien très efficace des organisateurs pour obtenir un accès internet à proximité du site. Nous prévoyons donc d'installer, à cet endroit, un WRT54g et d'en installer un autre au niveau du site où se déroulera le forum afin de fournir un accès au réseau depuis le forum. Côté accès internet, nous aurons normalement simplement à brancher le WRT54g sur un port ethernet et récupérer une configuration réseau par DHCP.
Nous prévoyons de faire des tests la semaine prochaine, pour une installation définitive vendredi 22 après-midi.
Cet accès réseau nous servira à faire des démonstrations, ainsi qu'à d'autres associations si elles ont besoin d'un accès internet. Il serait pas mal de prévoir quelques cartes wifi / points d'accès supplémentaires à préter, éventuellement.
*Débriefing Scopitone
2 WRT54g, distants de 20 mètres, en espace libre (extérieur), sans obstacle. Une antenne parabolique [SD15|http://www.infracom-france.com/boutique/product_info.php?cPath=26_27_30_102&products_id=99&osCsid=a637264869e0002de4ab5b8c145e896b] est branchée sur un des deux WRT54g (ce WRT54g est repéré sous le nom "nw04"), elle est fixe (ne bouge pas durant les tests). Les antennes testées sont successivement branchées sur le deuxième WRT54g (repéré sous le nom "nw02"). La SD15 et les antennes testées sont placées au niveau du sol.
*Le niveau de signal reçu est mesuré à partir de la valeur de RSSI (Receive Signal Strength Indicator) renvoyée par le driver de la carte wifi des WRT54g. Ce n'est théoriquement pas une valeur en dBm (cf. http://www.wildpackets.com/elements/whitepapers/Converting_Signal_Strength.pdf ), la valeur est normalement dépendante du matériel. Cependant, ces valeurs, utilisées de manière relatives (en comparant les différences entre deux mesures de RSSI, effectuées sur le même point d'accès) semblent correspondrent à peu près à des dB dans le cas du WRT54g. Les mesures avec des antennes "connues" (antennes d'origine, panneau, SD19) peuvent servir de référence.
!!Réunion "débriefing" Scopitone
*débriefing scopitone,
*Débriefing [Scopitone|ScopiTone2006]
!!Débriefing [Scopitone|ScopiTone2006]
Le festival Scopitone nous a aussi permis de nous réunir en [assemblée générale|CompteRenduDu01-07-2006] et de faire avancer le [Firmware Nantes-Wireless|PageQuiDoitVenirBientotPourDecrireLeFirmwareEtQuonAttendTousAvecImpatience] de manière significative (merci Grdscarabe !).
Elle souhaite une solution "clé en main" demandant le moins de configuration possible (idéalement aucune) à déployer à la demande lors de ces manifestations. Dans un premier temps, cette entreprise souhaiterait que Nantes-Wireless réalise l'étude de cette solution, puis, que nous puissions l'assister dans son déploiement.
La fréquence des manifestations doit être définie avec plus de précision; nous avons estimé pour l'instant le nombre de ces manifestations à deux par mois environ. En particulier, selon la fréquence de ces manifestations, nous devons décider si nous avons la logistique suffisante pour pouvoir les assurer.
Nous sommes arrivés à un consensus sur le type de solution technique à développer pour répondre à cette demande : une caisse de matériel préconfiguré, prêt à brancher, avec la documentation expliquant son fonctionnement. Éventuellement, nous pouvons envisager des extensions, telles qu'une machine permettant d'éditer des tickets indiquant des identifiants de connexion personnels.
L'intérêt de l'association à répondre à ce type de demande est, en plus d'une possibilité de rentrée d'argent importante, développer les pré-configurations de matériel et les solutions "clés en mains", ainsi que d'améliorer sa communication.
La demande et notre intervention seraient similaires à celles du forum du quartier Saint-Félix. L'accès réseau se ferait soit à partir d'un appartement situé dans le quartier Malakoff, soit pourrait peut-être être fourni dans le cadre de l'accès Internet haut débit par courants porteurs en ligne, développé à Malakoff à l'initiative de Nantes-Métropole (cf. page 8 du [n° de janvier / février 2006 du journal de Nantes-Métropole|http://www.nantesmetropole.fr/servlet/com.univ.utils.LectureFichierJoint?CODE=1139851655647&LANGUE=0&ext=.pdf]).
Nous avons également évoqué l'intérêt d'organiser des rassemblements en extérieurs, pour faire des démonstrations de réseaux sans fil ou simplement coder, échanger, etc, dans la rue. Nous avons envisagé de faire ça allée Turenne, qui allie quatre intérêts : le site est sympa avec des pelouses, il est assez fréquenté, est proche d'un des partenaires d'associations nantaises et est proche d'un point d'accès de Nantes-Wireless.
Parmi les autres lieux susceptibles d'accueillir des points d'accès publics, les cafés seraient intéressants. Des applications spécifiques pourraient être développées :
!Serveur wifidog
Nous avons trouvé un nouveau lieu d'hébergement pour le serveur wifidog de l'association (et un nouveau serveur). Celui-ci est pour l'instant accessible à partir de l'adresse [http://wifidog.drazzib.com/]. Une possibilité de réplication des données d'authentification sur plusieurs serveurs wifidog serait un développement utile...
La plage d'adresses IP privées a été utilisée lors des dernières installations de routeurs. Toutefois, afin d'uniformiser nos adresses avec celles des autres associations de la [fédération France-Wireless|http://www.wireless-fr.org], nous recommendons d'utiliser des adresses dans la plage, en
*une plage de 256 adresses IP est déduite de ce numéro, en ajoutant le numéro du point d'accès au préfixe 10.44; par exemple pour le point d'accès nw07,
**10.44.x.0/26 pour le réseau sans fil (soit pour nw07, par exemple), le point d'accès lui-même a l'adresse 10.44.x.1 dans cette plage,
**développement du firmware,
**installation du [serveur wifidog|InstallationServeurWifidog].
! Pose de l'antenne fixe a St Sebastien
Première étape de l'expérience, la pose d'une antenne fixe à St Sébastien. Durant tout le reste de l'après-midi un serveur shoutcast va mettre à disposition un stream mp3 en 320kbits.
! Vérification à courte portée
WikiPlugin, HelloWorldPlugin, and view the source of the files in
files for the plugins.
Some plugins require correctly configured PLUGIN_CACHED and external libraries
* a browser with [<iframe> support|http://www.cs.tut.fi/~jkorpela/html/iframe.html] for the TranscludePlugin,
PageChangeNotifications and ModeratedPage's,
In both cases the author is notified, so it's recommended for the
In case of multiple moderators: first comes, first serves.
Each user should have his email defined in his prefs. Default: "Administrators" or
some magic whether the ModeratedPage link is present or not, for efficiency
If you enable the config option ENABLE_MODERATEDPAGE_ALL, the page moderation status on
Save the output as textfile.
<?plugin ListPages pages=HomePage,FindPage,WikiWikiWeb ?>
anciennnes listes, chose curieuse, s'affiche bien
* Visitez DernièresModifs pour voir les additions et les modifications les plus récentes.
*Le [Matériel Wifi|MatérielWifi] de l'association
*[L'Ebook : 802.11 Les réseaux sans fil|SommaireEbook] ([erreurs|ErreurEbook])
!!Le Wifi :
*Les [Configurations par défaut des Points d'accès|DefaultPassword].
*Les [Fréquences du Wifi|FréquencesDuWifi].
*[Architecture des réseaux Wifi|ArchitectureWifi].
*Les [Configurations de matériel|ConfigurationsDeMatériel].
*Les [Simulateurs de différents routeurs WiFi|Simulateurs].
** [DossierCunReseauxSansFil]
** [DossierCunAnnexeFinanciere]
** [Nodewifigolio]
** [NodeWifigolio]
** [RéseauxSansFil[en]]
** [LogicielsAuthentification]
** [MatérielWifi]
** [ConfigurationsDeMatériel]
** [ConfigurationBridge]
** [MatérielWifi]
** [ConfigurationBefw11s4]
** [ConfigurationDuDSL604+]
** [ConfigurationsDeMatériel]
* A propos de la norme WiFi et des normes _associées_ :
** [BluetoothVsWifi]
** [FréquencesDuWifi]
** [WiFi]
* WiFi sour les différents OS :
*** [WindowsXPSP2Config]
*** [WindowsXPSP2ConfigWPA]
*** [ConfigurationSousBSD]
* Serveurs et configuration :
** [EssaiConfigVTun]
** [EssaiConfigOpenVPN]
** [FichierConfigOpenVPN]
** [ConfigVTun]
** [EssaiConfigVTun]
** [EssaiConfigZebra]
** [EssaiConfigDNS]
** [MadWifi]
** [ConfigurationBefw11s4]
** [SanteEtWifi]
** [ProjetWifiBox]
** [FirmwareNW]
** [NWFirmwareBuildImage]
** [[NWFirmware]
** [NWFirmware54GLIntegration]
** [NWFirmwarePlayWithCFE]
** [NWFirmware]
** [FindPage]
** [AdministrationDePhpWiki/DéfinirAcl]
** [WikiWifiWeb]
** [DéposerUnFichier]
Ce plugin vous permet d'afficher l'historique des éditions d'un auteur particulier.
Vous pouvez aussi bien spécifier le nom de la page (page courante par défaut).
Web dynamique par articles qui s'affichent sur une page Web. Ces articles sont
archivés au fur et à mesure. Chaque article peut-être modifié à souhait voire supprimé
ont créé leur page personnelle et ont définis des préférences.
Spécifie un wiki depuis la CarteInterWiki ou une url. N'importe quel
Texte à afficher dans le bouton de validation. Pour les sites
Spécifie la taille de la zone de saisie (30 caractères par défaut)
Ne redirige pas réellement vers le site externe mais affiche juste
affichera un message d'avertissement et refusera de lier cet en-tête.
du contenu régulièrement mis à jour. Un fichier RSS est un simple fichier
PluginRessourcesRss est un plugin wiki pour afficher des ressources RSS.
PluginListeSousPages est utilisé pour afficher le contenu d'une partie ou
N'affiche pas d'en-tête. Par défaut : false
Inclure cette section par page seulement lorsque c'est défini. Par défaut : false
Si c'est validé, cache le titre d'importation, affiche seulement un petit lien
affiche toutes les pages qui dépendent de AdministrationDePhpWiki :
Mettez un "<~?plugin-form ~CreatePage ?~>" sur une page, affichez cette page, entrez le nom
* soit avec les classes HTML prédéfinis pour créer du XHTML valide
// Constants are defined before the class.
if (!defined('THE_END'))
define('THE_END', "!");
// Five required functions in a WikiPlugin.
Avec ce plugin vous pouvez insérer du pur html non filtré dans la source de votre page wiki. Par exemple si vous voulez faire des tableaux compliqués pour afficher des données. Par défaut insérer de l'html est interdit dans la plupart des wikis pour des raisons de sécurité (un utilisateur malicieux peut insérer des redirections, du javascript, etc...)
<!-- Bien évidemment, nous affichons SEULEMENT les liens les plus utiles/importants. -->
que nous fournissons et vous la personnalisez pour qu'elle affiche le
PluginBonjourLeMonde, et regardez les sources des fichiers dans lib/plugin.
fichiers PHP des plugins.
la fin de la page. Existe depuis la version 1.3.8. Change l'apparence via les modèles
Affiche les commentaires dans l'ordre chronologique (order=normal) ou inverse (order=reverse)
Il suffit de cliquer sur une date du calendrier, d'éditer la tâche pour ce jour
__>__ engendre une colonne justifiée à droite, __<__ une colonne
justifiée à gauche et __^__ une colonne centrée (position par
pour afficher un bout de texte avec la météo actuelle pour n'importe quel aéroport
Mettre ceci sur =true= pour que le plugin affiche un menu après le
Utilisez ceci pour pré-sélectionner un aéroport spécifique à la place
Spécifie le code du pays (country code). Vous pouvez l'utiliser si vous
souhaitez pré-sélectionner un pays différent de celui spécifié dans le
affichera la météo courante à NASA Shuttle Facility, États-Unis
Vous pouvez spécifer le manière dont les unités seront affichées. Le choix
ou juste l'un d'entres elles. Mettant __units__ sur =both_metric= affichera
PluginColorationPhp affiche le code PHP en coloration syntaxique
Vous devez spécifier les options de ce plugin sur la même ligne que
=?>= final :
encore de la chaîne colorée avant de les afficher.
par défaut est =1=, ce qui signifie que le plugin prendra soin d'ajouter
à la coloration définie dans *php.ini*. Les couleurs doivent être spécifiées
;; Terme3:définition3
;;;Terme4: définition4
;;; : définition4.2
;;; Terme5 : définition5
Faire un album en affichant un ensemble de photos dont la liste est
un fichier de texte avec des descriptions optionnelles.
Url ou chemin local pour un fichier CSV où chaque ligne est un nom de
fichier de photo et une description de la photo. Les photos sont dans le
même répertoire que le fichier. Les descriptions sont facultatives. Si
principal est dans PHPWIKI_DIR, alors la localisation des fichiers ne
doit pas être donnée et toutes les images du répertoire sont affichées.
Spécifie comment les images sont rangées : ='column'= signifie
verticalement, ='row'= signifie horizontalement . Par défaut : ='row'=.
Affiche les descriptions données dans le fichier. Vrai par défaut.
Tri les images par nom de fichier. Par défaut, c'est l'ordre dans le
fichier texte qui est suivi.
!Fichier texte
Contenu possible d'une fichier texte valide :
à l'utilisateur de spécifier des propriétés arbitraires pour <tt><table></tt>,
cellule est traité individuellement par ~BlockParser. Ceci signifie que si tout
*les deux caractères spéciaux <tt>"~~"</tt> et <tt>"?>"</tt> doivent être neutralisés comme <tt>"\~~"</tt> and <tt>"?\>"</tt>. Je n'ai pas trouvé d'autres caractères devant être neutralisés. Il faut le faire pour le filtrage du texte.
PluginWiki pour afficher des expressions mathématiques dans une page
pas encadrée de dollar n'est pas validée. Elle est remplacée à l'affichage
par le texte en rouge. Il est malgré tout possible d'afficher du texte
Quelques lettres grecques : <?plugin TeX2png text="$\alpha$" ?>, <?plugin TeX2png text="$\beta$" ?>, ... et une formule <?plugin TeX2png text="$\sum_{i=1}^n \frac1{i^2}=\frac{\pi^2}{6}$" ?> pour tester l'affichage en ligne.
#Déterminer le domaine de définition de f.
autre texte sera rejeté quand la page est affichée (tout ce qui est en
__Listes :__ * pour les listes pointées, # pour les listes numérotées, ''__;__ terme __:__ définition'' pour les listes de définition.%%%
__Empêcher les liens :__ Préfixez avec "!" : !!NePasLier, nom de lien tel que [[[[texte | URL] (doubler sur le "[").%%%
* point-virgule et deux-points pour les listes de définition :
;terme ici:définition là, comme dans la liste <DL><DT><DD>
* Vous pouvez créer des notes de bas de page avec [[1], [[2], [[3], ... comme ici [1] (voir le bas de la page). Si le [[ est dans la première colonne, c'est une ''définition'' plutôt qu'une ''référence'' [1].
* Les URLs finissant par .png, .gif, ou .jpg sont remplacées par leur contenu si elles sont entre crochets : [http://phpwiki.sourceforge.net/demo/themes/default/images/png.png]
;: Remarquez que plusieurs __|__ conduisent à des colonnes étendues et que des __v__ peuvent être utilisés pour étendre des lignes. Un __>__ engendre une colonne justifiée à droite, __<__ une colonne justifiée à gauche et __^__ une colonne centrée (position par défaut).
[1] En utilisant [[1] une seconde fois (dans une première colonne) la note de bas de page elle-même est ''référencée''. Vous pouvez vous référer à une note autant de fois que vous le souhaiter mais vous ne pouvez la définir qu'une seule fois dans la page. Notez que le [[1] est lié à la première référence, s'il y a de multiples références alors ce sera des + après le [[1] qui appeleront les autres références (les références qui viennent ''après'' la ''définition'' de la note ne seront pas liées)
!!!Idées sur les serveurs du réseau wifi de nantes :
!!Financement de l'association
Philippe pose la question du financement de l'association.
* faire quelques modèles filles comme suggéré par Axel
Pas de modifications depuis Scopitone.
* Les données que nous sommes obligés de conserver (afin d'un dédouaner un membre dont l'AP aurait été utilisé frauduleusement) ne sont pas clairement définie => Investigation nécessaire.
* Attention au cout humain/financier engendré par la mise en place d'un callback téléphonique (sms).
Liaison définitive à mettre en place entre Hall Alstom -> Tour d'émission Jet FM à St-Herblain
En attente de la localisation définitive des locaux dans le Hall Alstom
< 500 ms de latence entre la sortie régie finale -> site d'émission FM
# Mise en place d'une antenne sur le batiment "en banane" de Malakoff afin d'avoir accès à Internet durant le forum des associations. Mise en place par Gwen + DrazziB + Ctu lundi/mardi soir ?
Sur place, nous pourrons faire des démonstrations et des explications sur les réseaux sans fil. Si la fréquentation de notre stand est faible ou lors de "creux", nous pouvons profiter de l'occasion d'être ensemble pour avancer le développement des projets en cours; en particulier, nous avons identifié, parmi les développements que nous pouvons entreprendre lors du forum :
*le nettoyage de l'interface de FreiFunk, en proposant une interface de configuration de base réduite au strict minimum et une interface de configuration avancée, donnant accès aux autres paramètres,
*le nettoyage du firmware lui-même, en particulier les variables de la nvram,
Cette radio est cependant en cours d'installation dans de nouveaux locaux, situés sur l'île Beaulieu, il est donc nécessaire, avant d'envisager d'autres tests et d'aller vers une installation plus définitive, d'attendre la fin de leur déménagement.
**tranche de 20 cartes wifi,
!Développement du firmware
Le firmware sera très prochainement disponible (d'ici le 23 septembre), sur un référentiel subversion, dont il est nécessaire de trouver un hébergement... Pour l'instant, il doit subir un certain nombre de tests avant d'être diffusé.
Un certain nombre des applications en ligne ont été mises à jour durant l'été, suite à une migration de serveur de la part de notre hébergeur, [Teltia|http://www.teltia.fr]. Durant l'été, nous avons aussi mis en place un serveur d'authentification [Wifidog|InstallationServeurWifidog], accessible à l'adresse http://auth.nantes-wireless.org.
Il a été mis à jour par Ctu avec la dernière version disponible (NDR: version ?). Quelques utilisateurs du forum ont apparament indiqué qu'il y avait des bugs d'affichage avec certains navigateurs web en utilisant un mode de présentation autre que le mode de présentation par défaut (le mode "loupe"). Pour l'instant nous n'avons pas assez de détail sur le problème pour pouvoir essayer d'y remédier et nous n'avons pas pu le reproduire. Prolag a signalé le [bug sur le forum|http://www.nantes-wireless.org/forum/viewtopic.php?p=21311#21311]
*Ctu a fait une modification du code de PHPwiki pour que l'identification, obligatoire pour éditer les pages, __utilise les identifiants du forum__. Il est donc nécessaire, pour pouvoir éditer les page wiki, d'utiliser ses identifiants de forum. Ceci a été fait pour simplifier la création de comptes et pour éviter les spams sur le wiki (NDR: ce qui d'ailleurs semble être très efficace). On a envisagé d'avoir les mêmes identifiants aussi pour le SPIP et que ces identifiants soient ceux du serveur d'authentification wifidog.
*Il est possible d'insérer une table des matières automatique sur chaque page : pour celà, il suffit d'ajouter
pour définir un lien, et
!Serveur wifidog
Le [serveur wifidog|InstallationServeurWifidog] est opérationnel depuis le mois de juillet.
On a envisagé de mettre en place un référentiel [subversion|http://subversion.tigris.org/], accessible en lecture (à tout le monde) et écriture (avec identification), pour supporter nos développements, en particulier concernant le firmware.
Nous avons été contactés par un journaliste d'un quotidien gratuit pour réaliser une interview en vue d'un reportage. Nous avons échangé plusieurs fois des courriers électroniques, mais aucune date n'a encore été définie pour une rencontre.
La semaine prochaine : tests et installation pour le [forum des associations du quartier Saint-Félix|ForumStFelix]. Nous attendons de fixer un rendez-vous avec des personnes du site accueillant le forum la semaine prochaine. Nous avons proposé vendredi après-midi.
!!Étape 1 : Configuration du routeur
- InstallationDeWifidog sur le routeur
- Ajouter des détails sur le point d'accès que vous venez de configurer ([coordonnées géographiques | Géolocalisation], adresse, nom...)
*Debriefing du [Forum des associations du quartier Saint-Félix|ForumStFelix]
**Firmware NW
**Devis kit d'installation wifi "clé en main"
- un AP installé avec un firmware NW
L'avis global est que le Forum était calme mais sympatique. L'installation WiFi a bien fonctionné, peut être que nous avons utilisé un peu trop de puissance pour la liaison.
Ctu a établi un bon contact avec une personne qu'il avait rencontré au Forum de Malakof. Cette personne s'occupe d'une association à Malakof et cherche des solutions pour remplacer son réseau existant qui avait été mis en place par un emploi jeune et qui devra être modifié pour raison de changement des locaux (destruction de la banane).
Un rendez-vous a été fixé le 4 Octobre pour faire des essais dans ces locaux, Ctu et Rémi y seront présents.
Ce contact permettrait de mettre en place un réseau WiFi assez intéressant sur le quartier de Malakof, et la personne nous conseille d'insister sur la démarche solidaire de notre association.
!! Développement du Firmware
Le but originel du Forum St Félix devait être de bosser sur le Firmware de l'association. Nous n'avons cependant pas eu trop de temps à y consacrer, Hooli propose donc une réunion bouffe chez lui Lundi 2 Octobre pour bosser sur le firmware. Le but serait de réussir à compiler un firmware simplissime composé uniquement du NW Wizzard, mais fonctionnel.
Le dépôt subversion du Firmware est présent à l'adresse : https://svn.grdscarabe.net/NWFirmware, les personnes désireuses d'obtenir un compte pour pouvoir commiter doivent contacter GrdScarabe pour que ce dernier leur en crée un.
Un peu de travail a été effectué tout de même sur le Firmware, notamment :
- Wifidog a été intégré au firmware et préconfiguré pour une authentification sur auth.nantes-wireless.org
Drazzib devrait intégrer la génération automatique d'images sur son interface online pour le Firmware spécifique de Nantes-Wireless.
Les points importants à travailler d'ici la release d'un premier firmware stable sont :
- finir l'interface basique
- clarifier la responsabilité des utilisateurs par rapport aux dommages sur l'AP
On abandonne l'idée des T-shirts filles car il n'est pas possible de trouver un éuivalent fille. Bien entendu si une dizaine de filles se manifestent et argumentent la nécessité d'un tel TeeShirt, nous reconsidérerons cette décision.
Notre contact a parlé de la possibilité de mettre en place des liaisons WiFi en utilisant les pilônes des radios amateurs, et il semble que d'autres radios aient répondu favorablement.
Notre contact aimerait tenter l'utilisation de la technologie 802.11a (5GHz) pour cette liaison, mais il est possible de mettre deux solutions en parallèle (802.11g et 802.11a). Les expérimentations nécessitent cependant l'accès à des cartes et des antennes en 5GHz, ce qui n'est pas à la portée financière de l'association pour le moment.
*Développement du Firmware NW
*Nouvelles du contact intéressé par un kit d'installation wifi "clé en main"
- il n'est plus possible d'utiliser tftp pour balancer le firmware dessus
- l'interface dessus (Linksys) est totalement dégoûtante et provoque tellement d'erreurs javascript que Firefox n'arrive pas à la faire fonctionner
- en essayant d'uploader le firmware par le biais de l'interface sous Windows et IE (et oui ... c'est dire), on se retrouve avec tout un tas d'erreur qui semblent se produire presque aléatoirement
- un AP a pû (non sans mal) être flashé avec le nouveau firmware ... mais ce dernier ne fonctionne pas.
La raison évoquée pour le non fonctionnement du firmware est que le composant de mémoire Flash semble être différent des versions précédentes de WRT. Il y a forte à parier que le noyau ne possède pas le pilote nécessaire.
Point positif des AP WRT54GL v1.1, Gwen a trouvé un port série console dessus, ceci va être très pratique pour les futurs développement ... Gwen propose (et on le comprend) de mettre un jtag et un port série d'office sur chacun des APs.
!! Développement du Firmware
En raison des problèmes rencontrés pour tester le firmware, assez peu de développement a été effectué. Cependant, :
- DrazziB a listé toutes les modifications qui ont été effectuées depuis le Freifunk d'origine et l'a placé dans un CHANGELOG
Gwen et GrdScarabe ont relevé des problèmes de stabilité assez important de Freifunk pour le moment inexplicable : les APs semblent s'arrêter de fonctionner brusquement (plus de ssh, plus d'accès par le wifi, plus de dhcp, plus de ping ...) sans qu'on y touche. Il faudrait regarder cela de plus près ...
Etant donné les nombreux problèmes relevés (stabilité, non prise en charge de la flash, ...) et en pesant les apports/contraintes de Freifunk, Gwen et GrdScarabe proposent de repartir d'un OpenWrt d'origine et y intégrer olsr, wifidog, Qos ... plutôt que d'essayer de fixer Freifunk.
!!! Développement du nouveau Firmware
Un nouveau groupe de développement du Firmware de Nantes-Wireless s'est formé, il reprend la plupart des membres du CA de NW qui se concentrent sur la mise au point d'un firmware simple pour des utilisateurs non informaticiens qui veulent se connecter à notre réseau.
A l'origine nous voulions repartir sur un firmware Freifunk. Cependant, après avoir relever des problèmes de stabilité sur ce dernier, nous explorons également la possibilité de repartir sur un pur OpenWRT.
Voici ci-dessous la liste des différentes ressources disponibles sur ce firmware :
- [Mise en place d'un JTAG et d'un SERIAL sur un Linksys WRT54GL|NWFirmware54GLIntegration]
- [Tentative de mise en place d'un Firmware Freifunk sur WRT54GL|WRT54GLFreifunk]
[Retour à la page principale de développement du Firmware|NWFirmware]
Les nouvelles versions des Linksys WRT54G*, nommés WRT54GL, intègrent directement un port série, ce qui est très pratique pour visualiser par exemple les messages de démarrage du firmware.
Le port série sur le WRT est du type TTL, vous pouvez le convertir en RS-232 (norme des ports série PC) en suivant [ces indication|http://www.rennes.supelec.fr/ren/fi/elec/docs/rs232/adaptrs232.html].
[ http://www.nantes-wireless.org/images/wiki/firmware/vu_portserie_nu.jpg ]
[ http://www.nantes-wireless.org/images/wiki/firmware/schema_portserie.jpg ]
Vous devriez voir apparaître un fichier à la racine du serveur tftp ... qui est un dump de la mémoire du routeur ... soit le firmware d'origine.
Imaginez désormais que vous ayez une brique, vous pouvez réinjecter le fichier juste dumpé dans la flash pour remettre le firmware d'origine, ni vu, ni connu !
Vous trouverez plus d'informations sur ce qui est possible de faire avec le _CFE_ [sur cette page|NWFirmwarePlayWithCFE].
!!! Mise en place d'un firmware Freifunk sur Linksys WRT54GL v1.1
[Retour à la page principale de développement du firmware|NWFirmware]
!! Première tentative avec un firmware de base
La nouveauté des Linksys WRT54GL v1.1 est la présence d'un contrôleur de mémoire Flash Samsung au lieu du contrôleur Intel. Les drivers pour le contrôleur Samsung n'étant pas inclus dans les firmwares courants (OpenWrt, Freifunk, ...), ces derniers freezent car ils n'arrivent pas à monter le système de fichiers.
Afin de parer à ce problème, il existe des versions de test des firmwares permettant de prendre en charge le contrôleur de mémoire Flash.
Bien évidemment, les WRT54GL v1.1 flashés avec des firmwares non prévus pour sont réduits à l'état de brique. De plus, comme le **boot_wait** n'est pas activé, il n'est pas possible de recharger un nouveau firmware.
Heureusement, ces version de WRT possèdent un port série, et il est possible de récupérer la brique par ce dernier, en prenant la main sur le CFE. Pour ce faire, vous devez mettre en place le port série sur le routeur comme décrit [ici|NWFirmware54GLIntegration].
Ouvrez une console sur ce port série et au moment du boot, conservez les touches _CTRL_ et _C_ enfoncées. Normalement, la procédure de boot doit se stopper et vous donne accès à un shell. Profitez en pour activer le *boot_wait* avec les commandes suivantes :
Le routeur va désormais attendre au boot un certain laps de temps pour charger un nouveau firmware. Profitez en pour charger un firmware qui fonctionne ...
!! Tentative avec le firmware testing de Freifunk
Une version de test du firmware intégrant le driver du contrôleur de Flash Samsung est disponible à l'adresse :
Vous pouvez donc uploader ce firmware par tftp dans votre routeur... et reprendre la main dessus.
Afin d'obtenir un shell _CFE_, il est nécessaire de mettre en place un port série et de se connecter à ce dernier à l'aide d'un terminal configuré à 115200 bauds. Les détails de cette démarche sont précisés à la page [NWFirmware54GLIntegration].
Vous êtes dans le shell du _CFE_, les possibilités sont maintenant infinies (ok ... pas exactement, mais c'est super cool quand même). Juste afin de se donner une idée des possibilités de la chose, vous pouvez lister les commandes disponibles :
f Fill contents of memory.
batch Load a batch file into memory and execute it
boot Load an executable file into memory and execute it
load Load an executable file into memory without executing it
save Save a region of memory to a remote file via TFTP
ifconfig Configure the Ethernet interface
!! Activer le *boot_wait* et modifier des valeurs de la nvram en général
Ce qui est assez formidable, c'est que le _CFE_ contient l'utilitaire _nvram_ permettant de modifier des valeurs de la nvram. Même si sa syntaxe est un petit peu différent de la version présente sous Linux, il est très similaire.
Il est possible de lister les valeurs présentes dans la nvram. Utilisez cependant cela avec modération car le routeur semble crasher à la fin du listing :
En supposant que votre routeur tourne toujours sous le firmware d'origine, vous pourriez être intéressé par récupérer une image de ce dernier afin de pouvoir la retrasnférer dans la mémoire pour être sûr d'avoir un routeur fonctionnel.
- *save* est une commande permettant de dumper le contenu de la mémoire vers un fichier par le biais de TFTP
- ** est l'adresse du serveur TFTP ainsi que le nom du fichier à créer sur ce serveur et qui contiendra le dump
Evidemment, lorsque l'on a transféré la mémoire dans un fichier, on aimerait pouvoir être capable de la réinjecter dans le routeur. On reprend donc notre serveur TFTP en dans lequel nous avions précédemment envoyé notre dump :
- *-noheader* permet de spécifier que le fichier ne possède pas d'entête (c'est un dump)
- ** est le nom du fichier et le nom du serveur TFTP sur lequel le trouver
flash0.boot New CFI flash at 1C000000 offset 00000000 size 256KB
flash0.trx New CFI flash at 1C000000 offset 00040000 size 1KB
flash0.os New CFI flash at 1C000000 offset 0004001C size 3808KB
flash0.nvram New CFI flash at 1C000000 offset 003F8000 size 32KB
flash1.boot New CFI flash at 1C000000 offset 00000000 size 256KB
flash1.trx New CFI flash at 1C000000 offset 00040000 size 3808KB
flash1.nvram New CFI flash at 1C000000 offset 003F8000 size 32KB
flash0 New CFI flash at 1C000000 size 4096KB
- *-noheader* permet de spécifier que notre image à charger ne contient pas l'entête et que le CFE doit donc le calculer
- ** est l'adresse du serveur TFTP et le nom du fichier à charger
!!! Développement du nouveau Firmware
Un nouveau groupe de développement du Firmware de Nantes-Wireless s'est formé, il reprend la plupart des membres du CA de NW qui se concentrent sur la mise au point d'un firmware simple pour des utilisateurs non informaticiens qui veulent se connecter à notre réseau.
A l'origine nous voulions repartir sur un firmware Freifunk. Cependant, après avoir relever des problèmes de stabilité sur ce dernier, nous explorons également la possibilité de repartir sur un pur OpenWRT.
Voici ci-dessous la liste des différentes ressources disponibles sur ce firmware :
- [Mise en place d'un JTAG et d'un SERIAL sur un Linksys WRT54GL|NWFirmware54GLIntegration]
- [Tentative de mise en place d'un Firmware Freifunk sur WRT54GL|WRT54GLFreifunk]
- [Construction d'une image pour ré-install rapide |NWFirmwareBuildImage]
Mettre en place un réseau libre sans-fil accessible à tout un chacun ne se fait pas en un claquement de doigts. Ainsi, Nantes-Wireless est impliquée dans de nombreux développements. Cette page tente de lister ces développements :
L'infrastructure de notre réseau repose sur un ensemble de routeurs wifi dont les firmwares sont modifiés. Nous développons donc un [firmware|NWFirmware] qui répond exactement à nos besoins.
!!Placer son point d'accès wifi sur le plan
# Choisir sa node (nw???) et cliquer sur 'Modifier'
Parmis les outils disponibles dans Freifunk on trouve un script de génération de fichier image. A partir de cet outils et des différents packages nécessaires au fonctionnement d'un routeur Nantes-Wireless nous allons constituer une image facilement ré-installable.
* [Wifidog 1.1.3 pour mips | http://dev.geeek.org/openwrt/OpenWrt-SDK-Linux-i686-1/bin/packages/wifidog_1.1.3_beta4-1_mipsel.ipk]
Je tiens à préciser que bien que la méthode qui va être décrite ici est passablement moche, elle a l'avantage d'une part d'être rapide et d'autre part d'être éfficace. Pour la prochaine version, promis on fera quelque chose de plus beau :)
! Test d'une image Freifunk non modifiée
Apres décompression du package freifunk-kit on dispose dans un répertoire des différente parties d'une image déjà compilées ainsi que des scripts et programmes nécessaires pour finaliser la construction. Les premiers fichiers qui vont nous interesser sont :
* root.tgz : qui est le système de fichiers "rom" sur lequel nous allons intervenir
* gen-openwrt : qui permet d'automatiser la création du fichier image.
En lancant _./gen-openwrt g > image.bin on obtient un fichier (simple non ?). Ce fichier est ensuite envoyé au routeur par tftp lors de la phase de boot_wait.
Une petite opération simple pour se mettre en forme consiste a modifier les pages web. C'est un très bon exercice en ce sens qu'il n'y a pas trop de risque sur la stabilité de Freifunk.
# Pour travailler tranquilement on crée un sous répertoire root-build. Le fichier root.tgz est décompressé à l'intérieur de ce répertoire (<pre>mkdir root-build ; cd root-build ; tar xzf ../root.tgz</pre>)
# On reconstruit ensuite l'archive du système de fichiers par la commande : tar czfm ../../root.tgz .
! Ajout des fichiers du firewall
Il manque par défaut un grand nombre de modules et librairies du firewall qui vont être nécessaires pour wifidog. En se connectant sur le routeur, il est possible d'utiliser le programme d'installation d'ipk pour télécharger les fichiers en question.
# Les fichiers suivants sont copiés depuis le routeur sur le PC de build :
! Ajout de wifidog
Aujourd’hui, nous affirmons qu’il est possible de créer et diffuser des musiques, des images, des écrits, des logiciels... dans une démarche collaborative et de libre circulation de la culture.
*Etre proche d'une des bornes de connexions WiFi (hotspots) du réseau Nantes Wireless
*Se connecter au réseau sans-fil nantes-wireless.org
!Etape 3 : Afficher le portail web
*Lancer son navigateur internet et accepter le certificat
Deux points d'accès préconfigurés ont été installés. Le premier près de la connexion internet, le second sur le stand d'APO33 (connecté en wds au premier).
Pas de gros problèmes rencontrés. Quelques soucis avec wifidog sur le deuxième AP : il semble ne pas comprendre lorsque la Gateway et l'External interface sont identiques. En l'occurrence les deux interfaces étaient en wifi (eth1). Vers la fin j'ai été obligé de tuer le processus wifidog.
Comme tous les ans à la même période, plusieurs associations en France se réveillent pour 24h afin d'organiser des manifestations qui permettront de rapporter un peu d'argent pour le Téléthon.
Certaines associations se regroupent entre communes afin d'avoir un meilleur impact et ainsi récolter plus de fonds. Ainsi les communes de Fontaines, Doix et Montreuil se réunissent pour organiser des manifestations communes. L'année dernière elles ont ainsi réussies à récolter plus de fonds que la "grande ville" toute proche : Fontenay-le-Comte.
Le rôle de Nantes-Wireless lors de cette manifestation sera de mettre en place un moyen de communication entre les trois communes (espacées en moyenne de quelques kilomètres) afin de diffuser des images de chacune des manifestations qui auront lieu en même temps dans les trois communes. C'est une opportunité pour Nantes-Wireless de rayonner autour de Nantes et de montrer que le modèle de réseau que nous prônons est également adapté à des environnement ruraux. L'évènement devrait être largement couvert par la presse locale.
La difficulté principale devrait être la liaison entre Montreuil et Fontaines étant donné qu'une bande forestière sépare les deux communes. La solution envisagée étant de faire dévier la liaison en rajoutant un noeud intermédiaire.
*démonstration des possibilités du réseau sans fil et d'un modèle de réseau alternatif, à l'initiative de Nantes-Wireless,
** 1 antenne fixée sur le routeur pour la liaison avec F
** 1 antenne fixée sur le routeur pour la liaison avec D
** 1 câble ethernet suffisamment long pour rejoindre la salle
** 1 antenne fixée sur le routeur pour la liaison avec M
** 1 câble ethernet suffisamment long pour rejoindre la salle
** 1 antenne fixée sur le routeur pour la liaison avec M (ou T)
** 1 câble ethernet suffisamment long pour rejoindre la salle
** 1 antenne fixée sur le routeur pour la liaison avec F
** 1 antenne fixée sur le routeur pour la liaison avec M
La configuration OLSR de Freifunk pour la mise en place de cette topologie pose quelques problèmes, notamment pour distribuer les routes LAN. Pour arriver à nos fins, nous avons dû mettre en place la configuration suivante :
De plus il a fallu modifier le script de lancement de olsrd : */etc/init.d/S53olsrd*. Au niveau des lignes 220, il faut changer le script de :
Seule une partie de la liaison a été effectuée. Les modifications/mises à jour du cahier des charges ayant recentré les besoins sur la liaison entre le site M et le site F, nous nous sommes concentré sur cette dernière. La difficultée sur cette liaison venait du fait que les deux extrémités n'étaient pas à vue car elles étaient séparées par une bande forestière de plusieurs dizaines de mètres de largeur.
En installant la SD27 sur un toit (5m du sol environ) au site M, puis une SD19 sur un poteau (2,50m du sol environ), nous avons finalement réussi à établir une liaison très stable et de bonne qualité. Les plus grandes difficultés rencontrées ayant été la liaison intérieure qui traversait une salle contenant près de 200 personnes en mouvement. Pour la liaison internet, un autre site que l'initial a été choisi. L'internet a donc été pris dans une maison à mi-chemin entre les deux site, et juste avant la bande forestière. L'accès internet passait donc par le site M avant d'être renvoyé vers le site F.
Globalement, l'intervention a été plutôt appréciée des deux bords et chacun serait prêt à réitérer l'année prochaine. Toutefois, un cahier des charges bien défini à l'avance nous permettra d'être plus efficace dans la mise en place des liaisons en temps et en heure.
VLC est un projet libre permettant de streamer à peu près n'importe quel flux audio/vidéo/texte sur un réseau ou en local. Ce logiciel est incroyablement puissant, toutefois il est assez difficile de prendre en main une telle puissance et un petit guide est assez pratique.
Le paramètre qui suit _--sout_ permet de spécifier la chaîne de traitement du flux. Le point de départ du traitement est identifié grâce à un _#_, puis les grandes étapes sont paramétrées entre accolades et s'enchaînent grâce aux _:_.
Le module *standard* permet de streamer la ressource vers un fichier ou sur le réseau. Pour envoyer le flux sur le réseau, il faut le préparer (le muxer). Il existe principalement trois moyens fiables avec VLC pour flux sur le réseau : *http*, *udp* et *rtp*. Pour ce qui est de *rtp*, il est préférable d'utiliser le module correspondant.
En plus du _muxer_, il est nécessaire de spécifier l'adresse à laquelle le flux sera disponible, ainsi que le port sur lequel se connecter pour l'obtenir. Ceci est spécifié grâce au paramètre *dst*. Ce paramètre attend comme valeur _addresse:port/chemin_.
vlc fichier.mpg --sout '#standard{access=http,mux=ts,dst=}'
vlc fichier.mpg --sout '#standard{access=http,mux=ps,dst=}'
vlc fichier.wmv --sout '#standard{access=http,mux=ogg,dst=}'
vlc fichier.mjpeg --sout '#standard{access=https,mux=asf,dst=}'
vlc fichier.mpg --sout '#duplicate{dst=standard{access=http,mux=asf,dst=}, dst=display{novideo}}'
Comme pour HTTP, il est nécessaire de spécifier le paramètre *dst*. Cependant ce dernier prend la valeur des adresses unicast ou multicast à qui l'on destine le flux, et non l'adresse à laquelle le flux est disponible.
vlc udp:@:1234 (le @ signifie l'adresse ip courante de la machine)
** *scale* permet de spécifier le ratio de la vidéo
** *height* , *width* permettent de spécifier la hauteur (respectivement la largeur) de la vidéo en pixels
Afin de vous rendre compte des différences de qualité entre les ressources originales et les ressources compressées, vous pouvez lancer des commandes du type (_extrêmement consommatrices de ressources_) :
vlc fichier.mpg --sout '#std{access=http,mux=ts,dst=}'
La documentation officielle de VLC :
- Cutter, scotch, ficelle, stylos, etc.
- La grand affiche Nantes-Wireless
- Un Wifidog local
- Présentation de notre action sur Nantes (avec carte imprimée du réseau nantais) : Wifidog et Firmware-Generator
- Pour ceux qui le souhaitent un [FirstJeudi | http://paris.firstjeudi.org/first.php3] est prévu durant le salon.
*Debriefing Solutions Linux
Nantes Wireless est une association à but non lucratif qui a pour mission la promotion des usages des réseaux informatiques sans-fil sur Nantes et sa région. Nous nous attachons à déployer un réseau Wi-Fi métropolitain solidaire, accessible à tous et de partout.
Tout citoyen peut utiliser les ressources du réseau à certains endroits appelés points d'accès, à condition d'avoir à sa disposition un ordinateur portable ou tout autre appareil équipé d'une carte WiFi. Par exemple nous travaillons avec des cafés, boutiques, organismes et individus pour rendre internet accessible gratuitement sur le territoire métropolitain.
Nous croyons que la technologie peut être utilisée dans le but d'amener les gens à entrer en contact entre eux et contribuer grandement à l'émergence de nouvelles communautés. Ainsi, Nantes Wireless entend utiliser ses points d'accès pour promouvoir l'interaction entre ses usagers, présenter des oeuvres artistiques originales utilisant des médium inusités et enfin fournir de l'information qui soit pertinente localement. Par exemple des informations touristiques aux abords des monuments historiques.
La bande de fréquence utilisée (2,4 Ghz) est libéralisée par l'ARCEP. La puissance émise est comprise entre 10 et 100 milliwatts (environ 20 fois moins que la téléphonie cellulaire GSM). Elle se propage sur une courte distance et ne traverse pas d'obstacles tels les murs porteurs. Aussi, il existe des bornes relais pour véhiculer les ondes là où l'émetteur initial (la carte WiFi) ne le permet pas.
Afin de vous faire une idée plus précise de ce procédé, ou pour collecter des informations nécessaires si vous désirez monter un dossier, nous ne pouvons que trop vous conseiller que de visiter le lien suivant :
Avoir une page quand on a page d'acces au net ... Bientot, c'est prevu dans le dev wifidog
Skin pour wifidog
- recuperer le fichier .rar d'exemple et le customiser
- Pour l'instant, non. Pour les supports wifidog, la fede a fait plein de dev mais qui peuvent devenir bloquants pour les evolutions futures (ils sont dailleur en partie en cours de retour en arriere)
Wifidog :
- Il y aura probablement 2 dev a plein temsp dans les prochains mois sur wifidog
[drazzib]je n'ai pas l'impression qu'IleSansFil gere reellement ses APs... je sais pas comment ils font
!!!Installation du firmware Freifunk sur un routeur compatible OpenWrt ([WRT54g|LinksysWRT54G] , WRT5GL...)
Le firmware [FreiFunk|http://freifunk.net/wiki/FreifunkFirmwareEnglish] a été développé par la communauté FreiFunk, basée à Berlin. Ce firmware permet de construire facilement un réseau communautaire, de type ''mesh'', en particulier en utilisant le protocole de routage dynamique [OLSR|OLSR]. Ce firmware est basé sur [OpenWRT|http://www.openwrt.org]. Il dispose d'une interface de configuration WWW très complète et traduite en français.
Ce document explique l'installation et la configuration de FreiFunk pas-à-pas en se basant sur une installation que nous avons réalisée en décembre 2006 à l'occasion du Téléthon, sur 7 points d'accès se trouvant à proximité les uns des autres (pouvant donc communiquer entre eux en wifi). Document mis à jour pour la version 1.4.5 de Freifunk le 25 janvier 2007.
Linksys WRT54GS-v4.0 (WRT54GS-v3.0 unverified)
Firmware minimal en mode sans échec, telnet sur
!!Remplacement du firmware d'origine
Les points d'accès avaient des firmwares officiels, nous avons installé FreiFunk dessus en utilisant la console d'administration accessible à cette adresse: . Pour plus d'information aller voir le tutorial FlashageOpenWRT .
Attention si vous utilisez la version 1.4.5 de Freifunk il faut modifier le fichier /etc/ipkg.conf
Appuyer sur i pour passer en mode insertion et modifier le fichier comme ci-dessous.
ipkg install
Le point d'accès est configuré en mode Master, le port LAN 1 a pour adresse Nous considérons que l'accès à internet est branché sur le port WAN du routeur et qu'il fournit automatiquement adresse ip, passerelle, serveur de nom.
Filtrage OLSR :
Traffic Shapping (QoS) OLSR : (o) Activé ( ) Désactivé
Routage Fisheye (routage en oeil de poisson) : ( ) Activé (o) Désactivé
Le paramètre ''DHCP OLSR'' permet d'indiquer au point d'accès qu'il doit démarrer un serveur DHCP, permettant la configuration automatique de clients du point d'accès ne disposant pas d'OLSR. Ici, la valeur '','' signifie que ce serveur DHCP allouera aux clients des adresses dans la plage (de à; est l'adresse du point d'accès et pourrait être une adresse de broadcast) avec comme masque (/26).
Le paramètre ''HNA4'' permet d'indiquer des routes, correspondant à des destinations que peut atteindre le routeur, à annoncer en utilisant le protocole OLSR. Ici, la valeur '''' indique que ce routeur peut atteindre directement toutes les destinations dans le préfixe ''''. Sur le dernier routeur OLSR branché vers un routeur (non OLSR; une freebox, par exemple) disposant d'une interconnexion avec l'internet, il faut ajouter la destination (permettant l'annonce d'une route par défaut).
*Administration -> sans fil
Protocole Sans Fil : Statique
Mode Sans Fil : Master (Point d'accès pour les autres)
Désactivation du Firewall : [x]
Ainsi configurés, les points d'accès officient en tant que routeurs. L'utilisation d'OLSR permet aux routeurs de déterminer automatiquement les routes (on dit que les routeurs "''découvrent eux-mêmes la topologie du réseau''") et de les ajuster dynamiquement selon que les possibilités de communication entre ces routeurs.
Si vous désirez juste installer le portail captif permettant de filtrer les accès au réseau sans-fil, vous devrez installer le PluginFreifunkWifidog .
Nous avons participé aux _Rencontres de la radio_, organisées par [l'ARALA|http://arala.44.free.fr] et qui ont eu lieu le 13 mai dernier. L'ambiance était très conviviale et festive. Nous avions un stand où nous avons pu présenter les activités de l'association. Nous avons rencontré des radio-amateurs et pu apprécier un grand nombre de réalisations maison, en particulier une superbe antenne "quadruple-quad" accordée sur une fréquence de 144 MHz. En discutant avec des membres de l'ARALA, nous sommes arrivés à la conclusion que nos deux associations (l'ARALA et Nantes-Wireless) avaient un certain nombre d'objectifs communs, en particulier l'installation d'équipements dans des points hauts de l'agglomération nantaise. L'ARALA dispose d'un accès dans les tours de l'Éraudière / port Boyer et nous ont proposé d'y installer un point d'accès Nantes-Wireless et des antennes. Nous avons également décidé d'entreprendre des démarche communes ARALA/Nantes-Wireless pour contacter la ville de Nantes afin d'avoir accès à d'autres points hauts. L'ARALA est également en contact avec la direction du développement associatif de la ville de Nantes (voir point suivant).
Le 10 mai dernier, j'ai rencontré, à sa demande, le directeur du [développement associatif de la ville de Nantes|http://www.nantes.fr/mairie/associations/supports.asp]. Il avait souhaité nous rencontrer afin d'envisager des projets d'interconnexion d'associations dans des pôles associatifs, tel qu'il en existe dans le quartier Malakoff ou dans les anciens bâtiments Alstom. J'ai répondu que l'association était tout à fait en mesure de réaliser de tels projets, et avait, à son actif, un certain nombre de réalisation d'une ampleur similaire (ponctuellement pour des évènements tels qu'[Ecossolies|Ecossolies2006] ou [Scopitone|ScopiTone] ou à plus long terme comme par exemple chez [SPIRE|http://www.spire-f.org/]).
La mission de la direction du développement associatif étant de soutenir les associations, en termes d'infrastructures ou en subventions, j'ai demandé son soutien pour des accès à des points hauts et pour bénéficier d'un local associatif. Concernant les points hauts, la réponse a été que la ville de Nantes disposait d'un grand nombre de bâtiments, et avait de nombreux interlocuteurs parmis les organismes de gestion des bâtiments et qu'il lui semblait tout à fait possible de nous aider à obtenir de tels accès. Concernant le local, sa réponse a été un peu plus évasive, étant donné que son service reçoit beaucoup de demandes et a peu de locaux disponibles.
Nous avons sollicité SPIRE pour l'installation d'un point d'accès qui sera utilisé lors de la fête de quartier de Malakoff (2 juin). Ils ont répondu favorablement. Je dois les recontacter la semaine prochaine afin de fixer un rendez vous pour l'installation (le 1er juin nous arrangerait).
J'ai pour ma part été interviewé le premier mai par une personne d'[eur@dio-Nantes|http://www.euradionantes.eu/]. L'interview a dû être diffusée la semaine dernière ou sera peut-être diffusée la semaine prochaine (je ne l'ai pas entendue). J'ai présenté l'association et ses activité, les réseaux sans fil, et j'ai répondu aux questions de la journaliste d'[eur@dio-Nantes|http://www.euradionantes.eu/] qui portaient essentiellement sur des aspects de sécurité.
Certains ont rencontré des problèmes de stabilité avec le firmware FreiFunk (malgré les précautions suivantes : remettre la nvram à zéro après avoir reflashé le point d'accès, désactiver _dyngw_ dans olsr, désactiver le script lancé par cron qui relance olsrd et la carte wifi toutes les 5 minutes). Nous avons donc envisagé de revenir à l'utilisation du firmware OpenWRT. Dans ce cadre, [OpenWRT Kamikaze|http://wiki.openwrt.org/OpenWrtDocs/KamikazeConfiguration] a été expérimenté sur un point d'accès. Deux grosses nouveautés dans cette version d'OpenWRT : l'utilisation de fichiers de configuration dans le système de fichiers racine (principalement dans un répertoire _/etc/config_) au lieu de variables de la NVRAM ainsi que la possibilité de configurer des _Virtual AP_, c'est-à-dire permettant de simuler sur le même point d'accès plusieurs points d'accès virtuels avec éventuellement des SSID ou des paramêtres de chiffrement différents, voire d'avoir à la fois un client et un ou plusieurs points d'accès virtuels sur le même équipement (NDR: j'ai testé le mode client + point d'accès, finalement ça fonctionne).
Nous sommes 3 (Drazzib, Gwen et Rémi) à avoir commencé à réflechir à une interface de configuration du firmware. L'idée est d'avoir une interface de configuration qui soit non pas embarquée sur le routeur, mais soit externe. Elle peut être soit sous la forme d'une application web, soit sous la forme d'une application autonome (dans l'hypothèse où le point d'accès à configurer serve justement à avoir accès à l'Internet). Drazzib a un proto de site web (http://www.firmware-generator.net/) permettant de générer à la volée des images à flasher sur un WRT54g/gs/gl.
Nous allons continuer à explorer ces voies, en cherchant en particulier à localiser les paramètres configurables.
Il reste 4 points d'accès disponibles pour des installations (nw22, nw23 et nw24 sont chez moi + 1 autre chez Ctu). Un des points d'accès (nw17) semble avoir disparu après la Linux-Party (si quelqu'un le retrouve... Il a comme adresse MAC : 00:18:39:C5:F8:90). Dans le même registre (matériel égaré), une grille de SD27 (la source a été récupérée, mais pas la grille) est manquante. Plus généralement, et afin d'éviter ce type de problèmes, il faudrait tenir à jour une liste complète du matériel (un peu comme ce qui existe pour les [points d'accès|AllocationDesIp]).
Il serait possible qu'on ait accès, à partir de cet été, à des cartes, disposant d'un processeur Xscale 400 MHz, de 16 Mo RAM, 8 Mo de flash pour l'OS + 128 Mo de flash pour les données + 4 ports USB 1 (fonctionnant parfaitement sous linux), sur lesquelles il est possible de brancher des cartes wifi usb (avec un chipset zydas).
Nous avons été contactés pour une installation de points d'accès afin de couvrir un camping. L'installation matérielle (antennes notamment) serait assurée par [Infracom|http://www.infracom.com].
Ce restaurant se trouve presque en face du café "Un poquito" rue Paul Bellamy; une liaison wifi traversant la rue serait envisageable. Il faudrait également mettre un ordinateur en libre service dans ce lieu.
Autre demande, similaire à ce qu'on a pu mettre en place dans des cafés nantais. Ici une petite difficulté supplémentaire : c'est un peu à l'extérieur de Nantes, mais Ctu est souvent dans le coin.
Il semble qu'il y ait une forte demande pour des tutoriaux techniques (par exemple "comment configurer le réseau sans fil sous linux" ou bien concernant la fabrication d'antennes); cette demande s'est manifestée lors de rencontres telles que _Solutions Linux_.
Il faudrait qu'on puisse répondre à cette demande, étant donné en plus que ce sont ces documentations qui rapportent des ressources financières à l'association (indirectement : les pages WWW ont des bandeaux de publicité qui nous est rémunérée par Google; plus les pages sont intéressantes, plus elles sont référencées, plus elles sont consultées, plus le bandeau de pub est visité, plus ça nous rapporte de sous...).
Il faudrait simplifier les listes de diffusion (pour l'instant nous avons deux listes pour le bureau, deux listes pour les membres, et un alias "contact"); il faudrait que les redirections fournies par Teltia aillent sur les listes hébergées par Drazzib, et que le champ "Reply-to" des listes hébergées par Drazzib correspondent aux alias fournis par Teltia.
* Afin d'améliorer notre communication, nous allons faire faire des cartes de visite; [VistaPrint|http://www.vistaprint.fr/] propose des cartes de visite gratuites (en l'échange d'un peu de publicité pour eux, au dos de la carte de visite).
_Kamikaze_ est le nom de code de la version en cours de développement d'[OpenWRT|http://www.openwrt.org/]. Bien que pas tout à fait finalisée, elle semble assez stable et utilisable.
* [La documentation de configuration de Kamikaze|http://wiki.openwrt.org/OpenWrtDocs/KamikazeConfiguration], sur le site d'OpenWRT,
*Remarque importante :* le fait d'installer un firmware (système) différent de celui d'origine risque d'annuler la garantie du routeur. De plus, des erreurs de manipulations peuvent rendre votre routeur inaccessible. Les manipulations décrites ici sont à faire à vos risques et périls.
*l'abandon du stockage de la configuration réseau dans la nvram, au profit de fichiers de configuration,
*la possibilité de configurer plusieurs points d'accès virtuels (jusqu'à 4), voire combiner le mode client et un ou plusieurs points d'accès virtuels, sur un même point d'accès physique,
Outre l'intérêt de disposer d'une distribution particulièrement légère pour faire tourner un serveur ou un routeur, ce portage permet de tester facilement des modifications sur le système.
*Note :* pour l'instant, les routeurs à base de chipset _broadcom_, c'est-à-dire les modèle Linksys en particulier, doivent utiliser une image disposant d'un noyau en version 2.4 (par exemple dans le sous-répertoire _bcrm-2.4_); en effet, le driver propriétaire de ce chipset (_wl.o_) n'est actuellement disponible que pour cette version du noyau. L'installation d'une image avec un noyau en version 2.6 est fonctionnelle, mais sans wifi.
[Le flashage par tftp|http://wiki.openwrt.org/OpenWrtDocs/Installing/TFTP] ne pose pas de soucis sur un point d'accès dont la variable _boot_wait_ est à _on_. Bien entendu, les autres méthodes d'installation (via l'interface d'administration d'un autre firmware, en ligne de commande, etc) sont possibles.
_Note :_ au redémarrage de _Kamikaze_, la configuration éventuellement existante dans la NVRAM n'est pas prise en compte. Les anciens paramètres du firmware Linksys d'origine, d'une ancienne version d'OpenWRT ou de FreiFunk ne seront donc pas repris. Par défaut, les ports LAN sont activés, avec comme adresse, le port WAN peut être configuré en DHCP (s'il est connecté à un serveur DHCP) et le wifi est désactivé.
Il est ensuite nécessaire de configurer un mot de passe root, ce qui peut se faire au moyen d'un
!!Configuration initiale
Le nom du routeur peut être modifié dans le fichier _/etc/config/system_. Par exemple :
config system
Les paramètres réseau peuvent être renseignés dans le fichier _/etc/config/network_. Par exemple sur le routeur _nw23_, ce fichier peut être modifié (au moyen de l'éditeur [vi|http://www.linux-france.org/article/appli/vi/] ;) pour contenir :
#### VLAN configuration
config switch eth0
#### Loopback configuration
config interface loopback
#### LAN configuration
config interface lan
#### WAN configuration
config interface wan
Ceci correspond aux [plages d'adresses définies pour les routeurs|AllocationDesIp].
*Remarque :* avec ces paramètres, l'adresse de broadcast configurée par _kamikaze_ pour l'interface _br-lan_ est _10.255.255.255_, alors qu'on aurait pu s'attendre à ce qu'elle soit _10.44.23.127_. Ceci ne semble pas génant cependant (cf. plus loin concernant OLSR).
Le serveur DHCP [dnsmasq|http://www.drazzib.com/docs:admin:dnsmasq], embarqué sur le routeur peut-être configuré pour attribuer des adresses à des équipements branchés sur l'interface LAN, au moyen de la section suivante dans le fichier _/etc/config/dhcp_ :
config dhcp
!Configuration wifi 1 : client d'un autre point d'accès Nantes-Wireless
La configuration du routeur en mode client d'un autre point d'accès se fait dans le fichier _/etc/config/wireless_ :
config wifi-device wl0
config wifi-iface
*Remarque :* penser à mettre l'option _disabled_ à _0_; par défaut, elle est à _1_, c'est-à-dire wifi désactivé.
*Remarque 2 :* ici, le choix est fait d'une interface wifi séparée des ports LAN. Par défaut, _kamikaze_ simule un switch comprenant à la fois les 4 ports LAN et l'interface wifi. Ce comportement peut être obtenu en mettant l'option _network_ à _lan_. Dans le cas de _nw23_, j'ai donc choisi de séparé les deux et créé un nouvel identifiant réseau (_sta_). Une entrée correspondante doit alors être créée dans le fichier _/etc/config/network_, ici
config interface sta
dans la ligne _~TrustedMacList_ d'un éventuel _wifidog.conf_ du point d'accès auquel le nouveau routeur est associé...
!!Autres configurations wifi
Un fichier de démarrage _/etc/init.d/olsrd_ doit être créé. Un fichier _/etc/init.d/S60olsrd_ a été créé lors de l'installation d'_olsrd_, mais ce fichier correspond à une initialisation pour _~WhiteRussian_ (il utilise en particulier des variables de la NVRAM), et ne peut pas être utilisé avec _Kamikaze_. Ce fichier _/etc/init.d/S60olsrd_ peut donc être supprimé. Le nouveau fichier _/etc/init.d/olsrd_ a le contenu suivant :
Le fichier de configuration d'_olsrd_ doit être également ajusté pour contenir :
LinkQualityFishEye 1
*Remarque 1 :* les sections du fichier _/etc/olsrd.conf_ correspondant à _~LoadPlugin "olsrd_dyn_gw.so.0.4"_, _~LoadPlugin "olsrd_httpinfo.so.0.1"_ et _~IpcConnect_ peuvent être supprimées (ne servent pas pour une utilisation simple d'_olsrd_).
*Remarque 4 :* penser à ajouter le paramètre _Ip4Broadcast dans la section _Interface_ car l'adresse de broadcast des interfaces n'est pas nécessairement la bonne (l'utilisation de la même adresse de broadcast partout simplifie les choses...).
!Configuration wifi 2 : simultanément en mode point d'accès et client
Ici, j'ai configuré le routeur _nw23_ simultanément en client et en point d'accès. À partir de la configuration de la section "Configuration wifi 1" sur _nw23_, l'ajout d'un point d'accès virtuel se fait en ajoutant la section suivante dans le fichier _/etc/config/wireless_ :
config wifi-iface
Le fichier _/etc/config/network_ est modifié pour contenir les sections suivantes :
#### AP configuration
config interface ap
#### Sta configuration
config interface sta
Une section peut être ajoutée au fichier _/etc/config/dhcp_ pour que les clients associés au point d'accès virtuel se voient attribuer automatiquement leurs paramètres réseau :
config dhcp
À l'issue de la configuration d'_olsrd_ et d'un client virtuel, la commande _ip route ls_ (il faut installer le paquetage _ip_ au moyen d'un _ipkg install ip_ pour bénéficier de cette commande) ou d'un _netstat -nr_ doit afficher des routes correspondant à la topologie du réseau; dans mon cas :
Cette configuration a cependant une limite si plus de deux routeurs sont utilisés : un client ne peut pas être associé à plus d'un point d'accès à la fois, donc il est possible que deux routeurs s'associent mutuellement et donc soient isolés du reste du réseau :
!Configuration wifi 3 : WDS
!Installation et configuration Wifidog
À partir de la page pour Freifunk : InstallationDeWifidog
Installation à partir du paquet de OpenWrt (http://downloads.openwrt.org/kamikaze/packages/mipsel/wifidog_1.1.3_rc1-1_mipsel.ipk)
root@OpenWrt:~# ipkg install http://downloads.openwrt.org/kamikaze/packages/mipsel/wifidog_1.1.3_rc1-1_mipsel.ipk
Downloading http://downloads.openwrt.org/kamikaze/packages/mipsel/wifidog_1.1.3_rc1-1_mipsel.ipk
Installing wifidog (1.1.3_rc1-1) to root...
Configuring iptables-mod-nat
Configuring kmod-ipt-nat
Configuring wifidog
Ajout de la configuration concernant le portail Wifidog dans _/etc/wifidog.conf_ concernant le serveur d'authentification :
Ainsi que les règles de firewall :
FirewallRuleSet global {
FirewallRule allow to
FirewallRuleSet validating-users {
FirewallRule allow udp port 67
FirewallRule allow tcp port 67
FirewallRule allow udp port 53
FirewallRule allow tcp port 53
FirewallRule allow tcp port 80
FirewallRule allow tcp port 110
FirewallRule allow tcp port 143
FirewallRule allow tcp port 220
FirewallRule allow tcp port 443
FirewallRule allow tcp port 993
FirewallRule allow tcp port 995
FirewallRule block to
FirewallRuleSet known-users {
FirewallRule allow to
Vous pouvez ajouter la liste des MAC qui passeront sans authentification :
Et on met également en commentaire (précédé de _#_) la ligne _GatewayID_. Il suffit alors de stopper et redémarrer wifidog :
root@OpenWrt:~# /etc/init.d/wifidog start
Starting Wifidog ...
Cette page fait suite à [cette documentation de Rémi|OpenwrtKamikaze] sur la configuration de OpenWRT Kamikaze pour le réseau Nantes-Wireless. Etant donné les différents aléas rencontrés sur les routeurs estampillés d'un firmware FreiFunk, nous avons décidé au sein de l'association Nantes-Wireless de relancer le développement d'un firmware dédié à notre réseau et basé sur [OpenWRT Kamikaze|http://kamikaze.openwrt.org/].
Les conseils et manipulations décrites ci-dessous concernent la modification d'un firmware OpenWRT Kamikaze à partir des sources afin de construire une image personnalisée du firmware à des fins de backup ou de distribution.
* [La documentation de configuration de Kamikaze|http://wiki.openwrt.org/OpenWrtDocs/KamikazeConfiguration], sur le site d'OpenWRT,
* [Configuration de Kamikaze pour Nantes-Wireless|OpenwrtKamikaze]
Nous nous attaquons à une face du firmware habituellement réservée aux développeurs. Pour cette raison, n'hésitez pas à aller consulter la [partie réservée aux développeurs du site d'OpenWRT|https://dev.openwrt.org/].
Dans un premier temps, nous allons récupérer les sources du firmware qui nous permettrons de mettre en place la toolchain nécessaire à la compilation des images. Selon que vous souhaitez travailler avec la version stable (7.06 au moment de l'écriture de cet article) ou avec la version de développement, vous choisirez respectivement un des deux dépôts ci-dessous :
Dans notre cas, nous choisissons la version en développement. Sur votre machine (Linux de préférence), récupérez les fichiers du dépôt dans un répertoire à votre convenance :
Une fois les sources récupérées, nous pouvons mettre en place la toolchain afin de construire nos premières images. Contrairement à ce que l'on pense, ceci n'est pas forcément compliqué, puisque la méthode est la même que pour la compilation d'un noyau Linux. Bien évidemment, avant de vous lancer dans la compilation, vérifiez que vous possédez bien tous les outils nécessaires tels que gcc, libc-dev, ncurses-dev ...
Placez vous alors dans le répertoire contenant les sources et lancez le fameux _make menuconfig_:
shell$ make menuconfig
Un menu en ncurses familier apparaît et vous propose un certain nombre de points de configuration. N'hésitez pas à user du _Help_ afin de vous guider dans vos choix. Sélectionnez les options qui vous intéressent, puis sauvegardez le tout en quittant par _Exit_.
Pour ceux qui ne savent pas quoi choisir, et qui n'ont pas le temps ou l'envie de fouiller les options, le contenu du _.config_ que j'ai utilisé pour compiler une image pour mon Linksys WRT54GL est présent en annexe au bas de cette page. Je n'ai reporté que les options activées afin de limiter le nombre de lignes :
Une fois la configuration terminée et le .config généré, il ne reste plus qu'à lancer la compilation du firmware. Pour ce faire :
__Attention !!__ vous devez être connecté à l'internet lors de cette phase de compilation car les fichiers sont téléchargés automatiquement depuis le net. De plus, la génération des images et de la toolchain est très gourmande en espace disque, soyez sûr de posséder au moins 1.5Go d'espace disque disponible avant de lancer la compilation.
!! Chargement du firmware
Je ne m'étendrai pas sur cette étape qui est déjà très bien décrite sur [cette page|FlashageOpenWRT]. Sachez juste que les images du firmware sont stockés dans le répertoire _bin_ :
!! Ajout de paquets au firmware
Le firmware par défaut ne contient pas forcément tous les paquets auxquels nous aimerions avoir accès...du moins on pourrait le penser. Il s'agit en fait d'une erreur :)
En effet, lors de la compilation, les paquets sont téléchargés à la volée, il suffit juste de les sélectionner lors de la configuration. Si vous cherchez comment activer la compilation d'un paquet, faites un _make menuconfig_ puis pressez _/_ et tapez le nom du paquet, l'assistant de configuration vous indiquera comment activer la compilation.
Si vous voulez intégrez un paquet qui n'est pas supporté par défaut, ajoutez tout simplement un répertoire identifié par le nom du paquet et contenant le _Makefile_, les répertoires _files_ et _patches_ au sein du répertoire _feed/packages_ de l'arbre des sources.
!! Modification du système de fichier
Le système de fichier utilisé pour être intégré au sein de l'image du firmware se trouve dans le répertoire _build_mipsel/root_. Vous pouvez vous en assurez en listant son contenu qui va rapidement vous sembler familier :
Modifions par exemple le nom par défaut du routeur :
shell$ vi build_mipsel/root/etc/config/hostname
config system
! _.config_ pour la compilation du firmware
# Automatically generated make config: don't edit
CONFIG_TARGET_OPTIMIZATION="-Os -pipe -mips32 -mtune=mips32 -funit-at-a-time"