mon réseau actuel utilise 2 point d’accès wifi qui se connectent l’un a l’autre pour remplacer un simple câble RJ45.
J’ai cette config car les 2 appartements reliés ne sont pas accessibles par câble…
mais pour ce pont réseau, mes modules ne gèrent que du WEP… ce qui me gène un peu
ce n’est pas trop grave, parce que je met en place un filtrage MAC, que j’ai posé des antennes directives, que j’ai baissé la puissance d’émission au minimum… donc il faut être en plein dans le “faisceau” pour réceptionner le signal et essayer de s’y “incruster”… et vu que les antennes ont un fort gain, les modules émettent très peu (puissance mini) et réceptionnent malgré tout un signal très correct donc il faudra au pirate de disposer d’une antenne performante sans quoi son signal sera trop faible et peu intéressant…
Pour sécuriser le tout je masque évidemment le SSID (c’est le minimum que je pouvais faire) et je laisse aussi en permanence AutoScan Network en fonction de manière à détecter toute nouvelle machine qui apparaitrait sur mon réseau…
Mais en imaginant le pire des cas, il est toujours possible d’entrer chez moi… :paf:
Il faut:
se placer dans la “zone” couverte par mon wifi
trouver le SSID masqué
casser ma clé WEP
écouter ce qui passe sur le réseau pour trouver une adresse MAC acceptée
entrer sur le réseau en utilisant cette adresse MAC lorsque le PC sera éteint
en procédant de cette manière, je ne suis pas sur que AutoScan trouve la machine, cette nouvelle utilisant la même adresse MAC qu’une des machines déjà connues…
J’ai bien mis a jour mes modules wifi et essayé de les basculer en WPA mais ce n’est pas possible dans ce mode de fonctionnement…
Me vient alors une idée… le VPN… mais un VPN qui ne consommerai pas de puissance sur mes machines…
l’idée serait donc de poser 2 modules ethernet juste avant les modules wifi de manière à crypter tout ce qui passe entre les 2 apparts… le pirate pourrait alors bien trouver le bon emplacement, la clé WEP et même l’adresse MAC de l’autre AP mais n’arriverait pas dans mon réseau, n’ayant pas de clé pour décrypter tout ce qui transiterai par ce lien wifi…
on peut évidemment penser à utiliser 2 PC mais c’est techniquement pas possible… d’1 mon frère dort dans la pièce, de 2 mes parents ont bien trop peur de laisser un PC en marche 24h/24. Pour les routeur, AP… c’est bon ça passe…
J’aimerai donc trouver 2 petit modules ethernet que je connecterai au “cul” de chaque AP et qui serviraient uniquement au cryptage/décryptage. Si possible petit, discret, rapide et qui ne consomme pas trop… (quoi je rêve ?:ane:)
Est ce que vous connaissez ce genre de module ? (de pref… pas trop cher… c’est pour une utilisation perso… avec un budget “perso”).
Edité le 06/10/2010 à 21:57
il n’y as pas besoin d’écouter le réseau pour chopper la mac puisque pour entrer sur ton réseau il faut déjà la mac ^^
quand tu écoute avec air-mon tu vois directement toutes les mac de tout les clients et ap dans le coin, ainsi que la clé de cryptage utilisée.
aussi en mode monitor les cartes wifi sont beaucoup plus performantes, pas forcément besoin d’être dans ton faisceau pour chopper tes paquets
Enfin je suppose que tu as déjà essayer de péter ta propre clé pour savoir ce que tu risquais
Mais passons, en fait tu voudrai que cette zone de wifi soit comme une dmz, une zone risquée et que tes paquets qui circulent par cette zone soient cryptés,
Et bien il faut que tu mette en place du vpn oui ^^ et des règles de routage
Réseau A d’un coté, réseau B de l’autre, réseau wifi entre les deux,
Chaque réseau avec son propre adressage ip
Un routeur entre réseau A et wifi ,un routeur entre réseau B et wifi.
Un serveur vpn d’un coté, un client vpn de l’autre,(le serveur et client peuvent etre le routeur en fonction de ce que tu aura utilisé)
Des règles de routage.
Par contre pour avoir une petite boite qui fait tout ca et qui prends pas de place euhh… lol
ton wrt54 sait faire.
le wrt54g sait faire mais d’après tes essais c’était pas terrible niveau rendement… il avait beaucoup de mal a suivre la cadence rien qu’en ADSL… sur le coup la, on parle de wifi et mon débit est plutôt important…
[Photo supprimée]
[Photo supprimée]
192.168.0.10 et 192.168.0.20 sont mes AP (le pont wifi).
j’utilise se pont principalement pour partager mon accès ADSL, mais aussi pour prendre la main des PC chez mes parents (1 portable et 3 fixes) et pour transférer des fichiers… donc j’aimerai autant que possible ne pas ralentir cette connexion qui est déjà bien plus lente qu’un joli câble ethernet…
J’ai trouvé hier une dernière mise à jour de mes AP, que j’ai installé, mais je suis passe de v3.5 à v3.5.1 et je n’ai pas trouvé les corrections apportées… j’essayerai à tout hasard de repasser mes AP en WPA mais je ne suis pas sur du tout que ce soit possible…
Sinon, de chaque coté de mes AP, j’ai déjà un wrt54g de mon coté un WRT54GL sous DD-WRT qui sert de DHCP et gère les accès internet (certains PC n’ont pas le droit d’accéder à internet…). L’autre WRT54G est une version 1.0 (le truc le + lent qu’on ait trouvé… ouch…) il est encore sous HyperWRT (mais ça peut changer ) pour le moment je connecte mon AP directement sur un port LAN (c’est le moyen le + simple que j’avais trouvé pour l’utiliser en “bridge”) et l’utilise donc comme simple switch et AP (2PC en ethernet, 2 en wifi).
Si la mise à jour de mes AP ne gère pas le WPA sur ce pont réseau, OK pour passer les WRT54G et WRT54GL en VPN, mais j’aimerai autant que possible garder la structure telle qu’elle (surtout niveau utilisation) à savoir:
accéder à tous les PC sur le même réseau (192.168.0.xxx)
lorsque je tape 192.168.1.1 j’ai bien accès à ma box, j’aimerai aussi garder cet accès (pratique de pouvoir m’y connecter sans câbler/décabler mon réseau)
pouvoir toujours prendre la main des différents PC du réseau (VNC)
j’utilise OmniChat pour discuter en local (sympa car pas besoin de serveur) et je ne voudrait pas m’en séparer
conserver les partages de fichiers entre les PC
avoir encore un accès aux interfaces web de mes AP pour modifier mes paramètres si besoin…
Tous cela en rappelant que je ne suis qu’un “bricoleur” sans formation…
Tu veux relever le défit ? je fais les essais WPA sur AP ce weekend et te tien au courant si besoin d’aide pour passer les WRT en VPN ?
pour le WPA j’avais déjà testé mais ça ne communiquait plus… mais c’est un pont WDS et apparemment le WDS ne fonctionne pas avec le WPA… j’avais le même problème quand je faisait le WDS avec les WRT54G mais c’était bien + lent… avec les AP, j’ai réussit a réduire la distance entre les 2, et j’ai améliorer le signal en travaillant sur des antennes directives).
j’ai vu sur le net certaines personnes parlant de WPA et de WDS dans le même sujet mais jamais réussit pour ma part… alors fausse info sur le net ? parfois ça arrive… ou matériel spécifique ? possible aussi… je fais les tests ce weekend et je te tien au jus.
Pour les WRT54 oui, on voulait aussi qu’il fasse du filtrage rediriger certains paquets sur le VPN, d’autres sur le FAI en direct…
Pour mon adressage, j’ai tout en 192.168.0.xxx avec 192.168.0.1 pour mon WRT54GL (celui sous DD-WRT qui gère les règles du réseau / DHCP…). Seule la box est resté en 192.168.1.1. Je pensait que c’était ce qu’il y avait de + simple… car elle a pris la place de mon ancien modem ADSL ethernet uniquement pour profiter de la VOIP. Je n’ai pas trop cherché s’il fallait changer qqch dans son adressage… mais comme il n’y a que le routeur de connecté sur la box et que j’utilise ce dernier pour gérer le réseau local, je ne pense pas avoir fait qqch de mal… mais si tu as une solution + “propre” et + “pro”, je suis preneur…
donc résumé :
192.168.1.1 BOX (une SFR d’avant le rachat de 9T)
192.168.0.1 WRT54GL (c’est la que commence mon réseau local)
IP auto mon PC et mon imprimante réseau
192.168.0.4 une FONERA 2.0n elle devait remplacer mon WRT54G v1 mais son wifi n’est pas détecté par le cadre photo de mes parents… du coup elle reste simplement connectée au net pour avoir un accès “mobile”
192.168.0.10 premier PA (celui de mon coté)
192.168.0.20 2eme PA (chez mes parents)
192.168.0.2 WRT54G v1 (utilisé en point d’accès wifi avec DHCP pour 2 PC et le cadre photo, + 2 PC ip auto en RJ45)
les IP auto du wifi sont gérés par le WRT54G v1, les autres adresses auto RJ45 proviennent toutes du DHCP du WRT54GL
ah oki, donc ton wrt54 a une ip en 1.xx sur son port wan.
donc tu fait du nat entre le réseau local 1 et le internet , et tu fais du nat également entre le réseau local 2 et le réseau local 1.
donc pour faire une redirection de port tu dois la faire sur ta box en direction du wrt54 puis sur le wrt54 en direction du pc ca complique les choses ^^
ta box internet n’as pas la possibilité d’etre en mode bridge ? (mais bon c’est pas ca qui genera ce que tu veux faire
Je sais que dans ma boite ils sont en train de mettre en place du wifi en wds, sécurisé en wpa2/aes avec des certificats, authentification radius, un truc qui a l’air costaux par contre j’en sais pas plus.
Pour mon réseau, je n’ai pas trouvé d’option “bridge” dans ma box… elle me gère la connexion ADSL et me sort 4 ports 10/100mbps + TEL (VOIP). J’ai donc désactivé le pare-feu de la box (le WRT54GL est sensé le faire… enfin je crois :ane: ) et j’ai mis l’adresse WAN du WRT54GL en DMZ sur la BOX (il n’y a rien d’autre sur la box à part le routeur… est évidemment le tel mais c’est pas du réseau ).
Pour le WDS en WPA ça m’intéresse bien… mais j’ai peut être pas les modules adaptés… dommage j’ai été trop rapide… si j’avais attendu un peu j’aurais investi dans des AP à 5Ghz… la au moins je serais encore un peu + tranquille…
Pour info mes AP sont des Bullet2 d’Ubiquiti (la première version… ensuite il y a eu plusieurs déclinaisons).
Je fais le test du WDS + WPA ce weekend… et je te dirais si la dernière version du firmware a peut être corrigé ce défaut.
Sinon, je devrait peut être plutôt essayer le forum support d’ubiquiti avant de me lancer dans le pont VPN…
Dans tous les cas, je te tiens informé de l’avancement
Bon pour créer mon lien WDS, j’y entre l’adresse MAC de l’AP distant…
Je viens de remarquer qu’en passant du cryptage WEP au WPA (ou même WPA2… je les ai tous essayer), la case permettant d’entrer l’adresse MAC distante est grisée (le mode auto aussi)…
Je suppose que c’est pour cela que rien ne fonctionne.
J’ai quand même essayer sans renseigner ce paramètre (je n’avais pas remarqué cette différence avant le test), mais les AP ne communiquent plus…
Je vais faire un tour sur le forum ubiquiti… si la solution n’y est pas… j’essayerai de crypter les infos à l’aide des 2 WRT54G.
[Photo supprimée]
[Photo supprimée]
Bah j’ai fait un tour sur le forum ubiquiti et j’ai trouvé la solution… les modifs entre WEP et WPA sont plutôt “bizarre” (enfin je n’ai pas bien compris pourquoi changer tout cela alors que je ne veux changer que le cryptage…peut être un manque de connaissance de ma part…) mais ça fonctionne ! Je mets le lien pour les suivants, ça pourra peut être servir à d’autres…
le problème est résolu, le cryptage est bien passé de WEP à WPA, je me demande simplement pourquoi toutes ces manip alors que le paramétrage le + “logique” semblait de ne changer que le type de cryptage…
sinon depuis cette modif, j’ai mes 2 AP qui prennent des adresses IP fournit par le DHCP… pas cool pour s’y connecter…
j’aimerai bien leur attribuer une IP fixe… je sais que mon ancien firmware permettait d’attribuer une IP en fonction de l’adresse MAC, mais c’était dans HyperWRT, sur DD-WRT, je ne trouve pas d’option identique… c’est une fonction qui manque ? ou je ne sais pas la trouver ?
[Photo supprimée]
quelques derniers petits réglages et tout devrait fonctionner “au poil”
merci a tous ceux qui prennent le temps de m’aider !
Edité le 05/10/2010 à 23:20
de mon coté un WRT54GL sous DD-WRT qui sert de DHCP et gère les accès internet (certains PC n’ont pas le droit d’accéder à internet…). L’autre WRT54G est une version 1.0 (le truc le + lent qu’on ait trouvé… ouch…) il est encore sous HyperWRT (mais ça peut changer 
) pour le moment je connecte mon AP directement sur un port LAN (c’est le moyen le + simple que j’avais trouvé pour l’utiliser en “bridge”) et l’utilise donc comme simple switch et AP (2PC en ethernet, 2 en wifi).