Aide pour structure réseau Wifi

[Bourriks]

Bonjour à tous.

J'aurais besoin de votre aide aujourd'hui. Dans un restaurant est installé un point d'accès Wifi D-link relié au réseau local qui se trouve dans les bureaux. Ce point d'accès est sans sécurité et est censé laissé l'accès Internet libre aux client du restaurant. Dans les bureaux se trouve un routeur ADSL Netgear qui sert à l'accès Internet. Le patron partage sur les quelques pcs du réseau local des fichiers administratifs.

Le souci, c'est que les clients, lorqu'ils se connectent en Wifi, voient uniquement le SSID du routeur ADSL, dont le Wifi est sécurisé. et quand ils s'y connectent, ils ont accès aux partages réseau, ce qui n'est pas top niveau sécurité. Je pense que le WLAN du point d'accès a fusionné avec celui du routeur ADSL et il y a donc deux antennes pour rejoindre un seul WLAN.

Comment est-il possible de faire en sorte que les client du restaurant ne voient que le WLAN de la salle et ne se connectent plus à celui des bureaux ? et surtout que ceux qui se connectent sur le point d'accès de la salle ne puissent faire QUE de l'accès Internet et non aps accéder aux partages réseau.

Je joins un petit schéma récapitulant le réseau en place.

Merci de votre aide.

[fabien29200]

Salut à toi !

Je serai étonné que l'AP D-Link se soit automatiquement mis en collaboration avec le routeur ADSL.

Ce que je ferai à ta place :

- Je désactiverai le WiFi du routeur (à moins qu'il serve, dans ce cas à voir).

- Il faut clairement isoler le réseau des PC du bureau de ceux venant du WiFi.

Moi je mettrai une petite machine entre l'AP et le routeur. Son but ? Donner des IP aux clients en WiFi, et faire proxy transparent.

A savoir que toutes les requêtes Web passeront vers ton routeur mais que tout le reste sera bloqué.

Car pour le moment, si quelqu'un lance un logiciel P2P, que se passe-t-il ?

En ces temps, d'Hadopi, il faut faire attention ...

[falou]

Salut Bourriks

Tout d'abord je suis très réservé sur la sécurité d'une telle configuration. Je suggère que le modem-routeur principal soit désactivé au niveau WiFi, et que la connexion aux PC du bureau se fasse en filaire, tout comme la liaison à ton pont WiFi situé en salle, qui lui distribuerait ses propres adresses sur un autre sous-réseau pour qu'on ne puisse pas avoir de liaison avec les PC administratifs. Au niveau sécurité il faudrait en effet filtrer les ports pour empêcher les usages autres que courrier électronique et http/https.

Dans tous les cas le mieux serait une seconde connexion séparée.

(edit: dsl fabien, je me suis rendu compte après coup que je dis à peu de chose près la même chose que toi)

[Bourriks]

up

un peu de nouvelles.

Alors, j'ai coupé le wifi du routeur netgear principal, et j'ai corrigé la configuration du point d'accès en salle (qui est un d-link). En effet, ce dernier n'avait pas de passerelle configurée.

Tout marche bien pour la connexion Internet en salle.

voici l'adressage.

le netgear: 192.168.0.1

le d-link: 192.168.0.50

c'est le netgear qui fait office de serveur DHCP. Je sais que la cohabitation de deux serveurs DHCP dan un même réseau ne fait jamais bon ménage, par expérience.

en revanche, j'ai maintenant un autre souci à résoudre. Les pcs du bureau ont quelues dossiers en partage. Le problème, c'est que les gens qui se connectent en Wifi peuvent accéder à ces partages. J'ai bien tenté de mettre les pcs de bureau dans un groupe de travail différent, mais ca ne change rien. Un portable qui se connecte au Wifi et qui appartient au groupe WORKGROUP peut vior les fichiers partagés (qui sont sous le groupe nommé URBAN).

Savez-vous comment je peux faire pour restreindre l'accès à ces partages uniquement aux personnes désirées ?

Merci.

[fabien29200]

Il y a plusieurs solutions à cela, du simple au compliqué.

Tout d'abord, oublie la gestion des groupes de travail Windows. Ca n'a absolument rien à voir ici. C'est niveau réseau qu'il faut isoler les machines.

Car par défaut les équipements réseau routent les paquets vers la bonne destination si ils en ont la connaissance.

Donc si un PC se connecte sur ton WiFi et demande à accéder à un PC du bureau, le point d'accès envoie sa requête sur le réseau filaire, qui arrive au routeur. Lui connaît le PC demandé car il est aussi branché sur ce routeur. Donc le routeur envoie logiquement la requête au PC du bureau.

Exemple : tu ajoutes un routeur entre les PC du bureau et le routeur ADSL. Tu places les PC de bureau dans un autre sous réseau (par exemple 192.168.1.xyz). Les machines connectées en WiFi ne pourront pas joindre les machines de bureau car le routeur n'autorise pas l'accès dans ce sens (sauf si tu ouvres des ports). Par contre les PC de bureau peuvent accéder aux machines du réseau WiFi et à Internet.

Cette solution ne gère pas la protection de l'accès Internet des machines WiFi. C'est à dire que n'importe quel client peut faire ce qu'il veut sur Internet (P2P, pédophilie, piratage ...). Et cera votre accès Internet qui sera mis en cause. Et la loi dit que vous êtes responsables de votre accès.

L'idéal serait donc de partir vers une solution filtrant l'accès Internet (firewall, proxy, proxy transparent ...).

Mais je ne connais de solution "out of the box" qui réponde à ce besoin. Je saurai le faire avec une petite Linux box mais peut être un INpaction connaîtra un petit boîtier magique qui fait ça

[Bourriks]

Merci de ta réponse.

Et si je mets un petit routeur Internet qui créerait un réseau 192.168.1.x sur lequel il y aurait le point d\\\'accès. Ce pointd\\\'accès utilisant comme passerelle l\\\'adresse 192.168.1.1, le routeur lambda routant sur le 192.168.0.1. Les clients wifi auront-ils l\\\'accès Internet sans avori accès aux données du réseau 192.168.0.0 ?

Comme routeur intermédiaire, je pense à un routeur Internet qui fait office de petit switch et une interface Ethernet qui est reliée à un modem adsl Ethernet, par exemple, comme celui-ci

http://www.priceminister.com/offer/buy/377...nt-Routeur.html

j\\\'en ai un chez moi, qui ne m\\\'est d\\\'aucune utilité pour le moment.

Le schéma réseau serait le suivant

[fabien29200]

Si on fait ce qu'il y a dans ton image, les PC en WiFi auront toujours accès aux machines de bureau.

En effet, si une machine WiFi veut accéder à une machine en 192.168.0.xyz alors le point d'accès transmettra la requête au routeur qui, lui a justement pour fonction de faire passer les paquets du sous réseau 192.168.1.xyz au sous réseau 192.168.0.xyz (le second routeur).

En fait dans ton image (pour schématiser), les routeurs donnent accès d'un point haut vers un point + bas tout en sachant faire remonter le retour d'information au PC qui a fait la requête (NAT).

Par contre, les routeurs bloquent tout ce qui vient de + bas et qui n'est pas une réponse à une requête d'un PC + haut (sauf si tu ouvres des ports).

D'ailleurs actuellement tous les PC ont accès à Internet (réseau + bas) mais rien d'Internet ne rentre sur le réseau sauf si c'est une réponse à un des PC du réseau.

Donc si tu veux isoler les PC de bureau, c'est eux qu'il faut mettre derrière le routeur. Dans ce cas, ils auront aussi le droit d'accéder aux machines en WiFi mais vu que c'est votre réseau, ça pose pas de problème.

[Bourriks]

Le hasard faisant, j'ai eu l'occasion de tester au boulot le routeur large bande Dlink DI-604 d'un client cet après-midi. Le même type d'appareil que le Trendnet cité plus haut.

Voici l'environnement de test.

Réseau 192.168.1.0 avec Livebox en 1.1. J'ai branché le Dlink qui a été reconnu en DHCP (1.18) et j'ai mis un PC derrière qui est adressé 192.168.0.128.

Résultat : ce PC va très bien sur Internet, mais ne voit plus aucun partage de fichiers sur les autres PC 192.168.1.x. C'est exactement ce genre de schéma qu'il me faut.

Demain, je vais emmener mon routeur trendnet, le brancher sur le réseau et mettre derrière le point d'accès DLinlk. Si ca marche de la même manière, ce sera tout bon.

Je tiens au courant.

[fabien29200]

Il ne le voit plu dans le voisinage réseau, mais si tu mets à la main l'IP dans l'explorateur (style \\192.168.0.x), il aura accès au partage.

Et ne crois pas que ce soit compliqué techniquement de trouver les PC avec les IP 192.168.0.xyz ...

[Bourriks]

Je vois. Mais bon, le peu de gens qui vont utiliser Internet en Wifi cehz eux n'ont pas vraiment les connaissances nécéssaires pour aller chercher les ips des bureaux.

Comme un con, j'ai oublié de prendre le routeur ce matin, ca va donc attendre demain, mais si je peux mettre en place ton schéma, je le ferai.

[Bourriks]

Une question vient de me traverser la tête.

Dans le schéma réseau que j'avais eu l'idée de faire, question sécurité, ce serait plus pratique, je pense. En effet, le routeur Trendnet peut faire office de filtre de protocoles et URLs pour empêcher les petits malins qui se connectent en, Wifi d'utiliser de la mule et certains sites prohibés.

Qu'en pensez-vous ?

[fabien29200]

Mais bon, le peu de gens qui vont utiliser Internet en Wifi cehz eux n'ont pas vraiment les connaissances nécéssaires pour aller chercher les ips des bureaux.

En sécurité mieux vaut prévenir que supposer que les gens qui viendront n'auront pas le niveau

Un traceroute et un ping du broadcast, y a pas besoin de s'appeler Kevin Mitnick pour ça.

Par contre si ton routeur fait firewall, ça pourrait régler le problème.

Si il peut bloquer tous les ports en sortie sauf DNS, HTTP, HTTPS et encore mieux, bloquer tout ce qui ne va pas vers Internet, tu aurais une protection efficace.

[Bourriks]

Et ben je crois que c'est le cas.

Je verrai demain, de toute manière