Comme promis, vous y trouverez page 44 le descriptif complet de l’architecture de mon réseau Wifi Public.

À part ça, quelques stats de mon fameux Empire-Network. Depuis que mon réseau wireless est ouvert :

. j’ai accueilli 141 invités
. qui ont visité 2290 URLs uniques
. parmis lesquelles on retrouve dans le top 5, dans l’ordre :

- le pathetique facebook
- yahoo mail / search / meteo
- qui devance étrangement google
- les meetic’like de tous les pays
- l’indispensablement inutile myspace

. dans le top 3 des visiteurs :

- de très loin, des Russes
- pas mal d’Italiens
- pratiquement ex-aequo Anglais et Allemands

Ce qui est assez rassurant, c’est qu’il y a finalement peu de tentatives de visites de sites pornos ou equivalent, par contre, beaucoup, beaucoup, beaucoup de tentative d’utilisation du P2P (qui est filtré / bloqué).

Pour finir, je constate que la grande majorité des gens qui prennent la peine de lire les conditions d’utilisation qui finissent par un lien “j’accepte / I agree” sont des utilisateurs de Mac, les windowsiens, eux, ne semblent simplement pas comprendre pourquoi ils tombent toujours sur le même portail quelle que soit l’URL qu’ils tapent. Le nombre de machines GNU/Linux est de 1%…

On cale bien la LS2 dans sa maison

Et on s’assure d’arroser bien comme il faut

lààà.

Ce matin j’ai reçu ça :

Mais siii, regarde au dos :

Ça y est ? tu la reconnais ?

Avec ça, j’devrais pouvoir fournir 1Mbps au Cameroun.

Merci Guigui2 :)

Deux OpenWRT configurés en simples bridges permettent aux invités de se raccorder au VLAN dédié au wireless public :

/etc/config/wireless

config wifi-device  wifi0
        option type     atheros
        option disabled 0
        option mode             11b
        option distance         10000
        option diversity        0
        option txantenna        1
        option rxantenna        1
        option channel          6

config wifi-iface
        option device   wifi0
        option ifname   ath0
        option network  lan
        option mode     ap
        option ssid     Empire-Network
        option encryption none
        option txpower 18

/etc/config/network

config interface loopback
        option ifname   lo
        option proto    static
        option ipaddr   127.0.0.1
        option netmask  255.0.0.0

config interface lan
        option ifname   eth0 ath0
        option type     bridge
        option proto    static
        option ipaddr   192.168.200.253
        option netmask  255.255.255.0

Où un serveur dhcp leur fournira une IP dans le subnet adéquat. Un simple règle pf redirigera alors toute requète http vers un portail captif qui expliquera à l’invité quelles informations entrer dans son browser afin de pouvoir utiliser HTTP, HTTPS et FTP (notez que pour le moment un seul sur une bonne 30aine a reussi à effectuer cette opération heutement technique…). Quelques règles de QoS m’assurent que l’invité ne crame pas toute ma bande passante :

/etc/pf.conf

int="fxp0"

table <empire_guests> { 192.168.200.0/24, ! 192.168.200.254, ! 192.168.200.253, ! 192.168.200.252 }

altq on $int cbq bandwidth 28Mb queue { empirenet_in, empirenet_out }
queue empirenet_in bandwidth 2Mb priority 1 cbq(default)
queue empirenet_out bandwidth 128Kb priority 7

rdr on $int inet proto tcp from any to <empire_guests> port www -> 127.0.0.1 port 80

pass in on $int from any to <empire_guests> queue empirenet_in
pass out on $int from <empire_guests> to any queue empirenet_out

L’utilisateur passe alors via Squid et son activité est soumise au filtrage de squidGuard dans lequel j’ai interdit les catégories !aggressive !violence !hacking !ads !porn !warez !suspect.
J’applique sur le switch des access-list par port qui n’autorisent que les protocoles HTTP, SSH et DHCP.

[...]
ip access-list extended wifiout
 permit ip any host 192.168.200.254
 permit tcp any any eq http
 permit udp any any eq bootps
 permit tcp any any eq ssh
[...]
interface e 18
 ip access-group wifiout in
[...]

Le tout est graphé par Cacti, notemment grace à l’extension dhcpd-snmp de Net-SNMP et au template cacti associé.

Si vous passez dans le 17eme, cherchez le ssid “Empire-Network” :)

update

Bon bah en fait si, y’aura un article :)

BusyBox v1.1.0 (2006.09.29-21:24+0000) Built-in shell (ash)
Enter ‘help’ for a list of built-in commands.

http://meraki.net

Welcome to your meraki mini.  Please look for developer
information at http://meraki.net. We would like to encourage
you to play with this platform and add your own features to it.
However, our lawyers require us to tell you that much of
the software on this device is protected by copyrights, and
may not be redistributed or sold.

Happy Hacking!
root@meraki-node:~#

Excusez du peu, mais on est loin de la paranoïa de la firme espagnole (et dieu sait que ça m’attriste d’ecrire cela) qui a été jusqu’à désactiver le shell sur la console serie dans sa “fonera+”…

Comme le dit très bien l’ami touff, c’est la Communauté qui tranchera.

Ensuite, ma marotte depuis près d’un an, FON. Si la récente marche arrière de la compagnie au minirouteur qui a finalement fermé tout acces exterieur a suscité la colère des Foneros-hackers (sens noble, toussa), de récentes discussions avec les autorités concernées laissent supposer que notre voix a été entendue. C’est préférable, car je doute qu’il y ait une seconde chance. More to come…

Enfin, mais c’est probablement le moins interessant pour toi ami comateur de imil.net, j’ai hérité d’une charge de travail non négligeable au boulot, ce qui me pousse à parfois ramener des casse-tête à la maison, mais j’y peux rien, j’aime ça.

Ah, un truc encore, recemment quelqun sur le canal (#gcu) m’a parlé d’un bijou. Ce bijou. Et en lisant un peu ce qui a été réalisé avec ce monstre, je tombe la dessus… ouh ouh ouuuh, y’aura bientot plus besoin d’accès ADSL dans le 17ème :)) NEED NEED NEED

Alors oui, la GUI est pourrie et buggée. Ok. Mais tu sais quoi ? dans un firmware bien rangé, c’est vraiment pas problématique.
Explication.

Déjà, et c’est pas rien, les gens d’OpenWRT ont des packages qui marchent :

root@OpenWrt:/etc/config# ipkg update
Downloading http://downloads.openwrt.org/kamikaze/7.09/atheros-2.6/packages/Packages
Updated list of available packages in /usr/lib/ipkg/lists/release
Downloading http://downloads.openwrt.org/kamikaze/packages/mips/Packages
Updated list of available packages in /usr/lib/ipkg/lists/packages
Downloading http://downloads.x-wrt.org/xwrt/kamikaze/7.09/atheros-2.6/packages/Packages
Updated list of available packages in /usr/lib/ipkg/lists/X-Wrt
Done.

Pardon mais ça fait du bien.
Ensuite, exit les nvram show|grep maiscestquoilaclé, on a un beau /etc/config tout bien structuré et read/write, car les bonhommes sont pas crétins :

root@OpenWrt:~# df -h
Filesystem                Size      Used Available Use% Mounted on
none                      6.6M     92.0k      6.6M   1% /tmp
tmpfs                   512.0k         0    512.0k   0% /dev
/dev/mtdblock3            5.9M      2.4M      3.5M  41% /jffs
mini_fo:/jffs             1.0M      1.0M         0 100% /

Fonctionnellement, j’ai besoin des choses suivantes:
. Rediriger un / des ports
. Router statiquement vers d’autres réseaux
. Monter un OpenVPN client
. monitorer le routeur en SNMP

Accroche-toi lutin, ça fait mal tellement c’est bien gaulé :

Redirection de ports

root@OpenWrt:~# tail -2 /etc/config/firewall
forward:dport=2222:192.168.10.3:22
forward:dport=6890-6999:192.168.10.5

routage statique

Ajouter au /etc/config/network :

config route blah
        option interface lan
        option target 192.168.12.0
        option netmask 255.255.255.0
        option gateway 192.168.10.10

OpenVPN

root@OpenWrt:~# ipkg install openvpn

Suivi de la conf classique d’OpenVPN

SNMP

root@OpenWrt:~# ipkg install snmpd

(trop dur)

Afin d’assurer le lancement automatique des services à chaque reboot d’OpenWRT, on ln -s dans /etc/rc.d, assez classiquement ma foi.

Quelques liens du meilleur effet :
Client Mode HOWTO
La doc officielle
La doc d’install

On notera qu’un

svn checkout https://svn.openwrt.org/openwrt/trunk kamikaze

prend quelques minutes et pèse environ 100 Megs contre les quelques heures et les 17Go de DD-WRT. Mais surtout, que le premier builde sans ruses minables visant à contourner l’absence de modules que l’auteur aura choisi de ne plus distribuer.

Allez, va mourrir dans un coin BS.

Après avoir tripoté le bidule quelques jours, j’ai gentiment reflashé ma fonera avec un autre firmware que je passerai au crible à son tour. Pour être concis, dd-wrt, c’est le bordel. Un repertoire “d’initscript” qui mélange gaiement scripts se finissant par des “^M” et templates de la GUI, la quasi-totalité des parametres sont inscrits et lus via nvram, ce qui nous donne :

/etc/config # nvram show|wc -l
size: 23894 bytes (8874 left)
867

extrait au pif :

ppp_get_ac=
pptp_server_ip=
ath0_compression=0
ath2_channelbw=20
restore_defaults=0
ddns_time=
pptp_use_dhcp=0
kaid_user=
wshaper_downlink=0
ath0_txantenna=1
ppp_username=
pptpd_client_srvip=
ath0_macmode1=disabled
filter_port=
wan_lease=0

wouaa comment c’est bien rangééé

Les regles de firewalling sont planquées quelque part, mais on n’y touche evidemment pas via la -tres jolie- GUI. Le support jffs2 est inclus mais l’ipkg.conf est faux, chaque changement de parametre nous vaut un reload de l’ensemble des services, et j’en passe et des meilleurs.

Bref, certainement un très bon produit de substitution pour quelques routeurs aux firmwares sales, mais certainement pas pour l’amateur de propreté d’un Unix correctement segmenté.

Trash.

Toute la procedure est expliquée ici.

Maintenant, on va tâcher de coller et configurer proprement un chilli pour que le DD-WRT puisse utiliser le portail captif FON.