Lea Linux - Contributions [fr]

Point d'accès sécurisé par OpenVPN

2009-02-22T16:26:45Z

Glandos : ajout de la topologie

= Introduction =
Ceci est la suite de [[Créer un point d'accès sécurisé avec hostAPd]]. Pourquoi me direz-vous ? Et bien, d'abord, pour la beauté de la chose. Ensuite, parce que certains clients font tout simplement planter mon point d'accès, qui tourne avec le module Madwifi. Donc j'ai voulu essayer autre chose.

= Présentation =
Le but recherché, et c'est très important de le souligner, est de créer un point d'accès sécurisé sans WEP ni WPA, ni WPA2. Le point d'accès apparaît comme non-sécurisé, mais si tout le monde peut s'y associer, ce n'est pas pour autant qu'il va être ouvert.

Je dispose toujours du même matériel :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable qui a un chipset Wifi Atheros fonctionnant avec ath9k.

[[Image:Topologie_Wifi_OpenVPN.png]]

<cadre type='alert'>Ce tutoriel décrit les opérations dans le sens logique d'une installation. Cependant, si vous le suivez dans l'ordre, il se peut que votre réseau se retrouve sans défense, et complètement accessible pendant un certain temps. Si vous voulez prendre le moins de risques possible, il est préférable de commencer par les règles IPTables</cadre>

== Inconvénient par rapport au WPA / WPA2 ==
* C'est plus compliqué à installer
* Les clients doivent pouvoir installer OpenVPN

= Pré-requis =
Malheureusement, je ne peux pas considérer que vous partez avec zéro connaissance. Mais voici la liste de ce qui doit déjà marcher sur votre installation :
* Le chipset Wifi doit être reconnu sur le serveur
* Le réseau doit être fonctionnel sur le serveur
* Le serveur dispose d'un serveur DHCP fonctionnel pour le réseau local.
* iptables doit être installé sur le serveur
* Le client doit avoir une carte Wifi qui marche
* Des notions de VPN sont conseillées.

= Préparation du point d'accès =
Toutes les commandes de cette partie sont à exécuter avec les droits du super utilisateur.

== Création de l'interface réseau ==
Disposant d'une carte géré par le pilote madwifi, il me faut tout d'abord créer l'interface à l'aide de <code>wlanconfig</code>. Cela permet de créer plusieurs interfaces virtuelles qui fonctionnent toutes sur la même carte réseau physique, mais dans des modes différents. Allons-y :
<code>
wlanconfig ath0 create wlandev wifi0 wlanmode ap
</code>
Cela crée une interface virtuelle nommée ath0 à partir de la carte wifi0 en mode "ap", c'est-à-dire "Access Point" soit "Point d'accès".

Ensuite, il faut fixer le SSID, c'est à dire le nom du réseau Wifi qui sera identifié par le client :
<code>
iwconfig ath0 essid "Mon OpenVPN"
</code>

Vous pouvez changer d'autres paramètres sur cette interface, comme le canal utilisé. Reportez-vous à la documentation de <code>iwconfig</code> pour en savoir plus.

Et enfin, il faut démarrer l'interface nouvellement créée.
<cadre type='alert'>À partir de là, votre point d'accès peut-être rejoint par n'importe qui !
</cadre>
<code>
ifconfig ath0 192.168.1.254 netmask 255.255.255.0
</code>

Pour rendre cette configuration persistante, il suffit de modifier le fichier <code>/etc/network/interfaces</code> sous Debian et d'y rajouter ces lignes :
<code>
# Interface pour le VPN
auto ath0
iface ath0 inet manual
madwifi-base wifi0
madwifi-mode ap
wireless-channel 9
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

== Installation de OpenVPN ==
Je suis sous Debian, donc si ça vous vexe pas, je vais décrire la procédure d'installation à la mode Debian :) Et c'est plutôt simple :
<code>
apt-get install openvpn
</code>
Pouf pouf, c'est fait. Pour les autres distributions, je doute que ce soit plus compliqué, OpenVPN étant un logiciel couramment utilisé.
== Configuration de OpenVPN ==
=== Génération des certificats ===
Alors je ne vais pas réinventer la roue. Je vous renvoie au tutoriel d'Ubuntu pour [http://doc.ubuntu-fr.org/openvpn#configuration_des_vpn la génération des fichiers du VPN]
=== Création d'un VPN ===
J'ai donc un fichier monvpn.conf dans <code>/etc/openvpn</code> qui ressemble à ça :
<code>
## Pour ne répondre au VPN que sur l'interface ath0
local 192.168.1.254

port 1194

proto udp

## Utilisation du mode routé
dev tun

## Fichiers générés à la section précédente
ca ca.crt
cert monvpn.crt
key monvpn.key # This file should be kept secret

dh dh1024.pem

## Adresse de l'interface de sortie du VPN
server 192.168.254.0 255.255.255.0

ifconfig-pool-persist ipp.txt

## Permet de faire passer tout le trafic du client à travers le VPN
push "redirect-gateway local"

keepalive 10 120

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append /var/log/openvpn.log

verb 3
</code>

J'ai mis des commentaires là où c'est important de comprendre. Les autres paramètres sont nécessaires, mais les garder intacts est une super bonne idée :)

Et après, il n'y a plus qu'à démarrer le VPN :
<code>
/etc/init.d/openvpn start
</code>

Normalement, cette commande est exécutée automatiquement lors du démarrage de la machine. Allez faire un tour dans <code>/etc/default/openvpn</code> pour faire du démarrage sélectif de VPN.

== Modification du pare-feu ==
C'est la partie la plus délicate. C'est celle qui m'a motivé à faire ce tutoriel :) Pour comprendre la suite, il faut comprendre le trajet d'un paquet arrivant par le VPN sur la passerelle :
* ath0 : un paquet arrive encapsulé et chiffré par le port 1194 en UDP
* Le processus OpenVPN, qui écoute sur le port et l'adresse lié à l'interface, reçoit ce paquet, le déchiffre et le renvoi au bon endroit. Comme le client envoie tous les paquets via l'adresse de l'interface créée par OpenVPN soit 192.168.254.1
* tun0 : reçoit donc le paquet en clair, et doit le transmettre à la bonne interface de sortie (car à part le ping, il n'y a rien à destination de cette interface).
* eth_adsl, eth_lan : selon la destination du paquet.

=== Sécurisation de l'interface ath0 ===
Le but est déjà de verrouiller l'interface sans-fil pour ne laisser passer que deux flux :
* Le DHCP. Bah oui, on pourrait configurer les clients à la main, mais c'est quand même plus pratique d'avoir le DHCP qui s'occupe de ça. Et ce n'est pas bien dangereux d'avoir une IP si on ne peut rien faire avec. Pour les paranoïaques, j'imagine que cela pose un problème de sécurité, si jamais il y a des failles dans le serveur DHCP. Il faut savoir qu'en WPA, le chiffrement de la connexion se fait AVANT le DHCP, ce qui est mieux. C'est un inconvénient de cette solution. À vous de voir.
* Le tunnel OpenVPN. Normal.

Donc avec iptables, ça donne ça :
<code>
## ath0 : On accepte les paquets en UDP sur le port du VPN
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 1194 -j ACCEPT

## ath0 : On accepte les paquets en UDP sur le port DHCP
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 67 -j ACCEPT

## tun0 : Il faut bien que le VPN envoie et reçoive des paquets
iptables -t filter -A INPUT -i tun0 ACCEPT

## Ne tapez cette commande QUE si vous N'avez PAS d'autres règles déjà en place !
iptables -t filter -A INPUT -i "!ath0" ACCEPT

## Par défaut, on jette tous les paquets en entrée. La règle précédente vous permettra d'avoir encore accès
## à votre machine par le réseau câblé. Sinon, tout sera bloqué...
iptables -t filter -P INPUT DROP

## Les paquets ne doivent pas passer à travers une autre interface directement,
## mais doivent tous être délivré à OpenVPN.
## C'est très important !
iptables -t filter -A FORWARD -i ath0 DROP

## Maintenant, on fait la règle de NAT pour faire sortir les paquets déchiffré par OpenVPN sur Internet.
## Si on ne fait pas ça, seul les paquets à destination du réseau local arriveront à destination.
iptables -t nat -A POSTROUTING -s 192.168.254.1 -j MASQUERADE
</code>

Et comme moi, j'utilise [http://ferm.foo-projects.org/ ferm] pour me simplifier la vie, voici le résumé dans une syntaxe lisible par ce logiciel :
<code>
# Activation du NAT (juste pour le VPN dans ce cas)
table nat {
chain POSTROUTING saddr 192.168.254.1 MASQUERADE;
}
table filter {

#Tout le trafic en sortie est autorisé
chain OUTPUT {
policy ACCEPT;
}

# On filtre tout ce qui arrive
chain INPUT {
policy DROP;
interface ath0 {
proto udp dport openvpn ACCEPT;
proto udp dport bootps ACCEPT;
}
interface tun0 ACCEPT;

# D'autres règles sont nécessaire pour que Internet marche.
interface eth_adsl {
# On accepte seulement les paquets qui reviennent
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}

}

# Interdiction de forwarder des paquets !
chain FORWARD interface ath0 {
DROP;
}

}
</code>
Bon à partir de là, vous pouvez respirer, il est normalement impossible de se connecter via l'interface ath0 sur votre réseau.

= Préparation du client =
Je ne dispose que d'un client sous Ubuntu, donc je ne détaillerai l'installation que pour ce système. Sachez que le client OpenVPN existe sous Windows, mais que la configuration se fait en éditant un fichier de configuration.
== Ubuntu 8.10 avec NetworkManager ==
Il faut préalablement installer les deux paquets suivants :
<code>
apt-get install network-manager-openvpn openvpn
</code>

Ensuite, il suffit suivre les étapes suivantes :
* Cliquer sur l'icône du réseau, et sur "Connexions VPN" puis "Configurer le VPN"
* Cliquer sur "Ajouter"
* Paramètres
** Nom de la connexion : "Mon VPN"
** Passerelle : 192.168.1.254
** Authentification, Type : Certificat "TLS"
** Certificat de l'utilisateur : client.crt
** Certificat du CA : ca.crt
** Clé privée : client.key
** Private Key Password : le mot de passe utilisé pour la génération de la clé client
* Onglet Paramètres IPv4, cliquer sur le bouton "Routes..."
* Cocher la case "Ignorer les routes automatiquement obtenues", pour ignorer les routes obtenues avant la connexion VPN. Je sais, c'est pas clair du tout...
* Valider le tout

Ensuite, il suffit de se connecter au Wifi, et de lancer le VPN. C'est fait :)

= Conclusion =
Cette alternative à WPA n'est pas ultime. Normalement, WPA s'occupe de tout. Cependant, cela permet de fournir une solution lorsque le chipset ne supporte pas le WPA (ce qui se fait rare), ou bien que le pilote n'est pas assez mature pour être stable en production.

= Copyright =
{{CC-BY-SA}}
[[Catégorie:Administration réseau]][[Catégorie:Réseau]][[Catégorie:Réseau local]]

Fichier:Topologie Wifi OpenVPN.png

2009-02-22T16:26:14Z

Glandos : a importé une nouvelle version de « Image:Topologie Wifi OpenVPN.png »

Fichier:Topologie Wifi OpenVPN.png

2009-02-22T16:22:08Z

Glandos :

Point d'accès sécurisé par OpenVPN

2009-02-22T16:05:47Z

Glandos : Ajout des catégories

= Introduction =
Ceci est la suite de [[Créer un point d'accès sécurisé avec hostAPd]]. Pourquoi me direz-vous ? Et bien, d'abord, pour la beauté de la chose. Ensuite, parce que certains clients font tout simplement planter mon point d'accès, qui tourne avec le module Madwifi. Donc j'ai voulu essayer autre chose.

= Présentation =
Le but recherché, et c'est très important de le souligner, est de créer un point d'accès sécurisé sans WEP ni WPA, ni WPA2. Le point d'accès apparaît comme non-sécurisé, mais si tout le monde peut s'y associer, ce n'est pas pour autant qu'il va être ouvert.

Je dispose toujours du même matériel :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable qui a un chipset Wifi Atheros fonctionnant avec ath9k.

<cadre type='alert'>Ce tutoriel décrit les opérations dans le sens logique d'une installation. Cependant, si vous le suivez dans l'ordre, il se peut que votre réseau se retrouve sans défense, et complètement accessible pendant un certain temps. Si vous voulez prendre le moins de risques possible, il est préférable de commencer par les règles IPTables</cadre>

== Inconvénient par rapport au WPA / WPA2 ==
* C'est plus compliqué à installer
* Les clients doivent pouvoir installer OpenVPN

= Pré-requis =
Malheureusement, je ne peux pas considérer que vous partez avec zéro connaissance. Mais voici la liste de ce qui doit déjà marcher sur votre installation :
* Le chipset Wifi doit être reconnu sur le serveur
* Le réseau doit être fonctionnel sur le serveur
* Le serveur dispose d'un serveur DHCP fonctionnel pour le réseau local.
* iptables doit être installé sur le serveur
* Le client doit avoir une carte Wifi qui marche
* Des notions de VPN sont conseillées.

= Préparation du point d'accès =
Toutes les commandes de cette partie sont à exécuter avec les droits du super utilisateur.

== Création de l'interface réseau ==
Disposant d'une carte géré par le pilote madwifi, il me faut tout d'abord créer l'interface à l'aide de <code>wlanconfig</code>. Cela permet de créer plusieurs interfaces virtuelles qui fonctionnent toutes sur la même carte réseau physique, mais dans des modes différents. Allons-y :
<code>
wlanconfig ath0 create wlandev wifi0 wlanmode ap
</code>
Cela crée une interface virtuelle nommée ath0 à partir de la carte wifi0 en mode "ap", c'est-à-dire "Access Point" soit "Point d'accès".

Ensuite, il faut fixer le SSID, c'est à dire le nom du réseau Wifi qui sera identifié par le client :
<code>
iwconfig ath0 essid "Mon OpenVPN"
</code>

Vous pouvez changer d'autres paramètres sur cette interface, comme le canal utilisé. Reportez-vous à la documentation de <code>iwconfig</code> pour en savoir plus.

Et enfin, il faut démarrer l'interface nouvellement créée.
<cadre type='alert'>À partir de là, votre point d'accès peut-être rejoint par n'importe qui !
</cadre>
<code>
ifconfig ath0 192.168.1.254 netmask 255.255.255.0
</code>

Pour rendre cette configuration persistante, il suffit de modifier le fichier <code>/etc/network/interfaces</code> sous Debian et d'y rajouter ces lignes :
<code>
# Interface pour le VPN
auto ath0
iface ath0 inet manual
madwifi-base wifi0
madwifi-mode ap
wireless-channel 9
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

== Installation de OpenVPN ==
Je suis sous Debian, donc si ça vous vexe pas, je vais décrire la procédure d'installation à la mode Debian :) Et c'est plutôt simple :
<code>
apt-get install openvpn
</code>
Pouf pouf, c'est fait. Pour les autres distributions, je doute que ce soit plus compliqué, OpenVPN étant un logiciel couramment utilisé.
== Configuration de OpenVPN ==
=== Génération des certificats ===
Alors je ne vais pas réinventer la roue. Je vous renvoie au tutoriel d'Ubuntu pour [http://doc.ubuntu-fr.org/openvpn#configuration_des_vpn la génération des fichiers du VPN]
=== Création d'un VPN ===
J'ai donc un fichier monvpn.conf dans <code>/etc/openvpn</code> qui ressemble à ça :
<code>
## Pour ne répondre au VPN que sur l'interface ath0
local 192.168.1.254

port 1194

proto udp

## Utilisation du mode routé
dev tun

## Fichiers générés à la section précédente
ca ca.crt
cert monvpn.crt
key monvpn.key # This file should be kept secret

dh dh1024.pem

## Adresse de l'interface de sortie du VPN
server 192.168.254.0 255.255.255.0

ifconfig-pool-persist ipp.txt

## Permet de faire passer tout le trafic du client à travers le VPN
push "redirect-gateway local"

keepalive 10 120

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append /var/log/openvpn.log

verb 3
</code>

J'ai mis des commentaires là où c'est important de comprendre. Les autres paramètres sont nécessaires, mais les garder intacts est une super bonne idée :)

Et après, il n'y a plus qu'à démarrer le VPN :
<code>
/etc/init.d/openvpn start
</code>

Normalement, cette commande est exécutée automatiquement lors du démarrage de la machine. Allez faire un tour dans <code>/etc/default/openvpn</code> pour faire du démarrage sélectif de VPN.

== Modification du pare-feu ==
C'est la partie la plus délicate. C'est celle qui m'a motivé à faire ce tutoriel :) Pour comprendre la suite, il faut comprendre le trajet d'un paquet arrivant par le VPN sur la passerelle :
* ath0 : un paquet arrive encapsulé et chiffré par le port 1194 en UDP
* Le processus OpenVPN, qui écoute sur le port et l'adresse lié à l'interface, reçoit ce paquet, le déchiffre et le renvoi au bon endroit. Comme le client envoie tous les paquets via l'adresse de l'interface créée par OpenVPN soit 192.168.254.1
* tun0 : reçoit donc le paquet en clair, et doit le transmettre à la bonne interface de sortie (car à part le ping, il n'y a rien à destination de cette interface).
* eth_adsl, eth_lan : selon la destination du paquet.

=== Sécurisation de l'interface ath0 ===
Le but est déjà de verrouiller l'interface sans-fil pour ne laisser passer que deux flux :
* Le DHCP. Bah oui, on pourrait configurer les clients à la main, mais c'est quand même plus pratique d'avoir le DHCP qui s'occupe de ça. Et ce n'est pas bien dangereux d'avoir une IP si on ne peut rien faire avec. Pour les paranoïaques, j'imagine que cela pose un problème de sécurité, si jamais il y a des failles dans le serveur DHCP. Il faut savoir qu'en WPA, le chiffrement de la connexion se fait AVANT le DHCP, ce qui est mieux. C'est un inconvénient de cette solution. À vous de voir.
* Le tunnel OpenVPN. Normal.

Donc avec iptables, ça donne ça :
<code>
## ath0 : On accepte les paquets en UDP sur le port du VPN
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 1194 -j ACCEPT

## ath0 : On accepte les paquets en UDP sur le port DHCP
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 67 -j ACCEPT

## tun0 : Il faut bien que le VPN envoie et reçoive des paquets
iptables -t filter -A INPUT -i tun0 ACCEPT

## Ne tapez cette commande QUE si vous N'avez PAS d'autres règles déjà en place !
iptables -t filter -A INPUT -i "!ath0" ACCEPT

## Par défaut, on jette tous les paquets en entrée. La règle précédente vous permettra d'avoir encore accès
## à votre machine par le réseau câblé. Sinon, tout sera bloqué...
iptables -t filter -P INPUT DROP

## Les paquets ne doivent pas passer à travers une autre interface directement,
## mais doivent tous être délivré à OpenVPN.
## C'est très important !
iptables -t filter -A FORWARD -i ath0 DROP

## Maintenant, on fait la règle de NAT pour faire sortir les paquets déchiffré par OpenVPN sur Internet.
## Si on ne fait pas ça, seul les paquets à destination du réseau local arriveront à destination.
iptables -t nat -A POSTROUTING -s 192.168.254.1 -j MASQUERADE
</code>

Et comme moi, j'utilise [http://ferm.foo-projects.org/ ferm] pour me simplifier la vie, voici le résumé dans une syntaxe lisible par ce logiciel :
<code>
# Activation du NAT (juste pour le VPN dans ce cas)
table nat {
chain POSTROUTING saddr 192.168.254.1 MASQUERADE;
}
table filter {

#Tout le trafic en sortie est autorisé
chain OUTPUT {
policy ACCEPT;
}

# On filtre tout ce qui arrive
chain INPUT {
policy DROP;
interface ath0 {
proto udp dport openvpn ACCEPT;
proto udp dport bootps ACCEPT;
}
interface tun0 ACCEPT;

# D'autres règles sont nécessaire pour que Internet marche.
interface eth_adsl {
# On accepte seulement les paquets qui reviennent
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}

}

# Interdiction de forwarder des paquets !
chain FORWARD interface ath0 {
DROP;
}

}
</code>
Bon à partir de là, vous pouvez respirer, il est normalement impossible de se connecter via l'interface ath0 sur votre réseau.

= Préparation du client =
Je ne dispose que d'un client sous Ubuntu, donc je ne détaillerai l'installation que pour ce système. Sachez que le client OpenVPN existe sous Windows, mais que la configuration se fait en éditant un fichier de configuration.
== Ubuntu 8.10 avec NetworkManager ==
Il faut préalablement installer les deux paquets suivants :
<code>
apt-get install network-manager-openvpn openvpn
</code>

Ensuite, il suffit suivre les étapes suivantes :
* Cliquer sur l'icône du réseau, et sur "Connexions VPN" puis "Configurer le VPN"
* Cliquer sur "Ajouter"
* Paramètres
** Nom de la connexion : "Mon VPN"
** Passerelle : 192.168.1.254
** Authentification, Type : Certificat "TLS"
** Certificat de l'utilisateur : client.crt
** Certificat du CA : ca.crt
** Clé privée : client.key
** Private Key Password : le mot de passe utilisé pour la génération de la clé client
* Onglet Paramètres IPv4, cliquer sur le bouton "Routes..."
* Cocher la case "Ignorer les routes automatiquement obtenues", pour ignorer les routes obtenues avant la connexion VPN. Je sais, c'est pas clair du tout...
* Valider le tout

Ensuite, il suffit de se connecter au Wifi, et de lancer le VPN. C'est fait :)

= Conclusion =
Cette alternative à WPA n'est pas ultime. Normalement, WPA s'occupe de tout. Cependant, cela permet de fournir une solution lorsque le chipset ne supporte pas le WPA (ce qui se fait rare), ou bien que le pilote n'est pas assez mature pour être stable en production.

= Copyright =
{{CC-BY-SA}}
[[Catégorie:Administration réseau]][[Catégorie:Réseau]][[Catégorie:Réseau local]]

Point d'accès sécurisé par OpenVPN

2009-02-22T16:03:38Z

Glandos : /* Conclusion */

= Introduction =
Ceci est la suite de [[Créer un point d'accès sécurisé avec hostAPd]]. Pourquoi me direz-vous ? Et bien, d'abord, pour la beauté de la chose. Ensuite, parce que certains clients font tout simplement planter mon point d'accès, qui tourne avec le module Madwifi. Donc j'ai voulu essayer autre chose.

= Présentation =
Le but recherché, et c'est très important de le souligner, est de créer un point d'accès sécurisé sans WEP ni WPA, ni WPA2. Le point d'accès apparaît comme non-sécurisé, mais si tout le monde peut s'y associer, ce n'est pas pour autant qu'il va être ouvert.

Je dispose toujours du même matériel :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable qui a un chipset Wifi Atheros fonctionnant avec ath9k.

<cadre type='alert'>Ce tutoriel décrit les opérations dans le sens logique d'une installation. Cependant, si vous le suivez dans l'ordre, il se peut que votre réseau se retrouve sans défense, et complètement accessible pendant un certain temps. Si vous voulez prendre le moins de risques possible, il est préférable de commencer par les règles IPTables</cadre>

== Inconvénient par rapport au WPA / WPA2 ==
* C'est plus compliqué à installer
* Les clients doivent pouvoir installer OpenVPN

= Pré-requis =
Malheureusement, je ne peux pas considérer que vous partez avec zéro connaissance. Mais voici la liste de ce qui doit déjà marcher sur votre installation :
* Le chipset Wifi doit être reconnu sur le serveur
* Le réseau doit être fonctionnel sur le serveur
* Le serveur dispose d'un serveur DHCP fonctionnel pour le réseau local.
* iptables doit être installé sur le serveur
* Le client doit avoir une carte Wifi qui marche
* Des notions de VPN sont conseillées.

= Préparation du point d'accès =
Toutes les commandes de cette partie sont à exécuter avec les droits du super utilisateur.

== Création de l'interface réseau ==
Disposant d'une carte géré par le pilote madwifi, il me faut tout d'abord créer l'interface à l'aide de <code>wlanconfig</code>. Cela permet de créer plusieurs interfaces virtuelles qui fonctionnent toutes sur la même carte réseau physique, mais dans des modes différents. Allons-y :
<code>
wlanconfig ath0 create wlandev wifi0 wlanmode ap
</code>
Cela crée une interface virtuelle nommée ath0 à partir de la carte wifi0 en mode "ap", c'est-à-dire "Access Point" soit "Point d'accès".

Ensuite, il faut fixer le SSID, c'est à dire le nom du réseau Wifi qui sera identifié par le client :
<code>
iwconfig ath0 essid "Mon OpenVPN"
</code>

Vous pouvez changer d'autres paramètres sur cette interface, comme le canal utilisé. Reportez-vous à la documentation de <code>iwconfig</code> pour en savoir plus.

Et enfin, il faut démarrer l'interface nouvellement créée.
<cadre type='alert'>À partir de là, votre point d'accès peut-être rejoint par n'importe qui !
</cadre>
<code>
ifconfig ath0 192.168.1.254 netmask 255.255.255.0
</code>

Pour rendre cette configuration persistante, il suffit de modifier le fichier <code>/etc/network/interfaces</code> sous Debian et d'y rajouter ces lignes :
<code>
# Interface pour le VPN
auto ath0
iface ath0 inet manual
madwifi-base wifi0
madwifi-mode ap
wireless-channel 9
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

== Installation de OpenVPN ==
Je suis sous Debian, donc si ça vous vexe pas, je vais décrire la procédure d'installation à la mode Debian :) Et c'est plutôt simple :
<code>
apt-get install openvpn
</code>
Pouf pouf, c'est fait. Pour les autres distributions, je doute que ce soit plus compliqué, OpenVPN étant un logiciel couramment utilisé.
== Configuration de OpenVPN ==
=== Génération des certificats ===
Alors je ne vais pas réinventer la roue. Je vous renvoie au tutoriel d'Ubuntu pour [http://doc.ubuntu-fr.org/openvpn#configuration_des_vpn la génération des fichiers du VPN]
=== Création d'un VPN ===
J'ai donc un fichier monvpn.conf dans <code>/etc/openvpn</code> qui ressemble à ça :
<code>
## Pour ne répondre au VPN que sur l'interface ath0
local 192.168.1.254

port 1194

proto udp

## Utilisation du mode routé
dev tun

## Fichiers générés à la section précédente
ca ca.crt
cert monvpn.crt
key monvpn.key # This file should be kept secret

dh dh1024.pem

## Adresse de l'interface de sortie du VPN
server 192.168.254.0 255.255.255.0

ifconfig-pool-persist ipp.txt

## Permet de faire passer tout le trafic du client à travers le VPN
push "redirect-gateway local"

keepalive 10 120

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append /var/log/openvpn.log

verb 3
</code>

J'ai mis des commentaires là où c'est important de comprendre. Les autres paramètres sont nécessaires, mais les garder intacts est une super bonne idée :)

Et après, il n'y a plus qu'à démarrer le VPN :
<code>
/etc/init.d/openvpn start
</code>

Normalement, cette commande est exécutée automatiquement lors du démarrage de la machine. Allez faire un tour dans <code>/etc/default/openvpn</code> pour faire du démarrage sélectif de VPN.

== Modification du pare-feu ==
C'est la partie la plus délicate. C'est celle qui m'a motivé à faire ce tutoriel :) Pour comprendre la suite, il faut comprendre le trajet d'un paquet arrivant par le VPN sur la passerelle :
* ath0 : un paquet arrive encapsulé et chiffré par le port 1194 en UDP
* Le processus OpenVPN, qui écoute sur le port et l'adresse lié à l'interface, reçoit ce paquet, le déchiffre et le renvoi au bon endroit. Comme le client envoie tous les paquets via l'adresse de l'interface créée par OpenVPN soit 192.168.254.1
* tun0 : reçoit donc le paquet en clair, et doit le transmettre à la bonne interface de sortie (car à part le ping, il n'y a rien à destination de cette interface).
* eth_adsl, eth_lan : selon la destination du paquet.

=== Sécurisation de l'interface ath0 ===
Le but est déjà de verrouiller l'interface sans-fil pour ne laisser passer que deux flux :
* Le DHCP. Bah oui, on pourrait configurer les clients à la main, mais c'est quand même plus pratique d'avoir le DHCP qui s'occupe de ça. Et ce n'est pas bien dangereux d'avoir une IP si on ne peut rien faire avec. Pour les paranoïaques, j'imagine que cela pose un problème de sécurité, si jamais il y a des failles dans le serveur DHCP. Il faut savoir qu'en WPA, le chiffrement de la connexion se fait AVANT le DHCP, ce qui est mieux. C'est un inconvénient de cette solution. À vous de voir.
* Le tunnel OpenVPN. Normal.

Donc avec iptables, ça donne ça :
<code>
## ath0 : On accepte les paquets en UDP sur le port du VPN
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 1194 -j ACCEPT

## ath0 : On accepte les paquets en UDP sur le port DHCP
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 67 -j ACCEPT

## tun0 : Il faut bien que le VPN envoie et reçoive des paquets
iptables -t filter -A INPUT -i tun0 ACCEPT

## Ne tapez cette commande QUE si vous N'avez PAS d'autres règles déjà en place !
iptables -t filter -A INPUT -i "!ath0" ACCEPT

## Par défaut, on jette tous les paquets en entrée. La règle précédente vous permettra d'avoir encore accès
## à votre machine par le réseau câblé. Sinon, tout sera bloqué...
iptables -t filter -P INPUT DROP

## Les paquets ne doivent pas passer à travers une autre interface directement,
## mais doivent tous être délivré à OpenVPN.
## C'est très important !
iptables -t filter -A FORWARD -i ath0 DROP

## Maintenant, on fait la règle de NAT pour faire sortir les paquets déchiffré par OpenVPN sur Internet.
## Si on ne fait pas ça, seul les paquets à destination du réseau local arriveront à destination.
iptables -t nat -A POSTROUTING -s 192.168.254.1 -j MASQUERADE
</code>

Et comme moi, j'utilise [http://ferm.foo-projects.org/ ferm] pour me simplifier la vie, voici le résumé dans une syntaxe lisible par ce logiciel :
<code>
# Activation du NAT (juste pour le VPN dans ce cas)
table nat {
chain POSTROUTING saddr 192.168.254.1 MASQUERADE;
}
table filter {

#Tout le trafic en sortie est autorisé
chain OUTPUT {
policy ACCEPT;
}

# On filtre tout ce qui arrive
chain INPUT {
policy DROP;
interface ath0 {
proto udp dport openvpn ACCEPT;
proto udp dport bootps ACCEPT;
}
interface tun0 ACCEPT;

# D'autres règles sont nécessaire pour que Internet marche.
interface eth_adsl {
# On accepte seulement les paquets qui reviennent
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}

}

# Interdiction de forwarder des paquets !
chain FORWARD interface ath0 {
DROP;
}

}
</code>
Bon à partir de là, vous pouvez respirer, il est normalement impossible de se connecter via l'interface ath0 sur votre réseau.

= Préparation du client =
Je ne dispose que d'un client sous Ubuntu, donc je ne détaillerai l'installation que pour ce système. Sachez que le client OpenVPN existe sous Windows, mais que la configuration se fait en éditant un fichier de configuration.
== Ubuntu 8.10 avec NetworkManager ==
Il faut préalablement installer les deux paquets suivants :
<code>
apt-get install network-manager-openvpn openvpn
</code>

Ensuite, il suffit suivre les étapes suivantes :
* Cliquer sur l'icône du réseau, et sur "Connexions VPN" puis "Configurer le VPN"
* Cliquer sur "Ajouter"
* Paramètres
** Nom de la connexion : "Mon VPN"
** Passerelle : 192.168.1.254
** Authentification, Type : Certificat "TLS"
** Certificat de l'utilisateur : client.crt
** Certificat du CA : ca.crt
** Clé privée : client.key
** Private Key Password : le mot de passe utilisé pour la génération de la clé client
* Onglet Paramètres IPv4, cliquer sur le bouton "Routes..."
* Cocher la case "Ignorer les routes automatiquement obtenues", pour ignorer les routes obtenues avant la connexion VPN. Je sais, c'est pas clair du tout...
* Valider le tout

Ensuite, il suffit de se connecter au Wifi, et de lancer le VPN. C'est fait :)

= Conclusion =
Cette alternative à WPA n'est pas ultime. Normalement, WPA s'occupe de tout. Cependant, cela permet de fournir une solution lorsque le chipset ne supporte pas le WPA (ce qui se fait rare), ou bien que le pilote n'est pas assez mature pour être stable en production.

= Copyright =
{{CC-BY-SA}}

Point d'accès sécurisé par OpenVPN

2009-02-22T16:02:13Z

Glandos : /* Présentation */

= Introduction =
Ceci est la suite de [[Créer un point d'accès sécurisé avec hostAPd]]. Pourquoi me direz-vous ? Et bien, d'abord, pour la beauté de la chose. Ensuite, parce que certains clients font tout simplement planter mon point d'accès, qui tourne avec le module Madwifi. Donc j'ai voulu essayer autre chose.

= Présentation =
Le but recherché, et c'est très important de le souligner, est de créer un point d'accès sécurisé sans WEP ni WPA, ni WPA2. Le point d'accès apparaît comme non-sécurisé, mais si tout le monde peut s'y associer, ce n'est pas pour autant qu'il va être ouvert.

Je dispose toujours du même matériel :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable qui a un chipset Wifi Atheros fonctionnant avec ath9k.

<cadre type='alert'>Ce tutoriel décrit les opérations dans le sens logique d'une installation. Cependant, si vous le suivez dans l'ordre, il se peut que votre réseau se retrouve sans défense, et complètement accessible pendant un certain temps. Si vous voulez prendre le moins de risques possible, il est préférable de commencer par les règles IPTables</cadre>

== Inconvénient par rapport au WPA / WPA2 ==
* C'est plus compliqué à installer
* Les clients doivent pouvoir installer OpenVPN

= Pré-requis =
Malheureusement, je ne peux pas considérer que vous partez avec zéro connaissance. Mais voici la liste de ce qui doit déjà marcher sur votre installation :
* Le chipset Wifi doit être reconnu sur le serveur
* Le réseau doit être fonctionnel sur le serveur
* Le serveur dispose d'un serveur DHCP fonctionnel pour le réseau local.
* iptables doit être installé sur le serveur
* Le client doit avoir une carte Wifi qui marche
* Des notions de VPN sont conseillées.

= Préparation du point d'accès =
Toutes les commandes de cette partie sont à exécuter avec les droits du super utilisateur.

== Création de l'interface réseau ==
Disposant d'une carte géré par le pilote madwifi, il me faut tout d'abord créer l'interface à l'aide de <code>wlanconfig</code>. Cela permet de créer plusieurs interfaces virtuelles qui fonctionnent toutes sur la même carte réseau physique, mais dans des modes différents. Allons-y :
<code>
wlanconfig ath0 create wlandev wifi0 wlanmode ap
</code>
Cela crée une interface virtuelle nommée ath0 à partir de la carte wifi0 en mode "ap", c'est-à-dire "Access Point" soit "Point d'accès".

Ensuite, il faut fixer le SSID, c'est à dire le nom du réseau Wifi qui sera identifié par le client :
<code>
iwconfig ath0 essid "Mon OpenVPN"
</code>

Vous pouvez changer d'autres paramètres sur cette interface, comme le canal utilisé. Reportez-vous à la documentation de <code>iwconfig</code> pour en savoir plus.

Et enfin, il faut démarrer l'interface nouvellement créée.
<cadre type='alert'>À partir de là, votre point d'accès peut-être rejoint par n'importe qui !
</cadre>
<code>
ifconfig ath0 192.168.1.254 netmask 255.255.255.0
</code>

Pour rendre cette configuration persistante, il suffit de modifier le fichier <code>/etc/network/interfaces</code> sous Debian et d'y rajouter ces lignes :
<code>
# Interface pour le VPN
auto ath0
iface ath0 inet manual
madwifi-base wifi0
madwifi-mode ap
wireless-channel 9
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

== Installation de OpenVPN ==
Je suis sous Debian, donc si ça vous vexe pas, je vais décrire la procédure d'installation à la mode Debian :) Et c'est plutôt simple :
<code>
apt-get install openvpn
</code>
Pouf pouf, c'est fait. Pour les autres distributions, je doute que ce soit plus compliqué, OpenVPN étant un logiciel couramment utilisé.
== Configuration de OpenVPN ==
=== Génération des certificats ===
Alors je ne vais pas réinventer la roue. Je vous renvoie au tutoriel d'Ubuntu pour [http://doc.ubuntu-fr.org/openvpn#configuration_des_vpn la génération des fichiers du VPN]
=== Création d'un VPN ===
J'ai donc un fichier monvpn.conf dans <code>/etc/openvpn</code> qui ressemble à ça :
<code>
## Pour ne répondre au VPN que sur l'interface ath0
local 192.168.1.254

port 1194

proto udp

## Utilisation du mode routé
dev tun

## Fichiers générés à la section précédente
ca ca.crt
cert monvpn.crt
key monvpn.key # This file should be kept secret

dh dh1024.pem

## Adresse de l'interface de sortie du VPN
server 192.168.254.0 255.255.255.0

ifconfig-pool-persist ipp.txt

## Permet de faire passer tout le trafic du client à travers le VPN
push "redirect-gateway local"

keepalive 10 120

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append /var/log/openvpn.log

verb 3
</code>

J'ai mis des commentaires là où c'est important de comprendre. Les autres paramètres sont nécessaires, mais les garder intacts est une super bonne idée :)

Et après, il n'y a plus qu'à démarrer le VPN :
<code>
/etc/init.d/openvpn start
</code>

Normalement, cette commande est exécutée automatiquement lors du démarrage de la machine. Allez faire un tour dans <code>/etc/default/openvpn</code> pour faire du démarrage sélectif de VPN.

== Modification du pare-feu ==
C'est la partie la plus délicate. C'est celle qui m'a motivé à faire ce tutoriel :) Pour comprendre la suite, il faut comprendre le trajet d'un paquet arrivant par le VPN sur la passerelle :
* ath0 : un paquet arrive encapsulé et chiffré par le port 1194 en UDP
* Le processus OpenVPN, qui écoute sur le port et l'adresse lié à l'interface, reçoit ce paquet, le déchiffre et le renvoi au bon endroit. Comme le client envoie tous les paquets via l'adresse de l'interface créée par OpenVPN soit 192.168.254.1
* tun0 : reçoit donc le paquet en clair, et doit le transmettre à la bonne interface de sortie (car à part le ping, il n'y a rien à destination de cette interface).
* eth_adsl, eth_lan : selon la destination du paquet.

=== Sécurisation de l'interface ath0 ===
Le but est déjà de verrouiller l'interface sans-fil pour ne laisser passer que deux flux :
* Le DHCP. Bah oui, on pourrait configurer les clients à la main, mais c'est quand même plus pratique d'avoir le DHCP qui s'occupe de ça. Et ce n'est pas bien dangereux d'avoir une IP si on ne peut rien faire avec. Pour les paranoïaques, j'imagine que cela pose un problème de sécurité, si jamais il y a des failles dans le serveur DHCP. Il faut savoir qu'en WPA, le chiffrement de la connexion se fait AVANT le DHCP, ce qui est mieux. C'est un inconvénient de cette solution. À vous de voir.
* Le tunnel OpenVPN. Normal.

Donc avec iptables, ça donne ça :
<code>
## ath0 : On accepte les paquets en UDP sur le port du VPN
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 1194 -j ACCEPT

## ath0 : On accepte les paquets en UDP sur le port DHCP
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 67 -j ACCEPT

## tun0 : Il faut bien que le VPN envoie et reçoive des paquets
iptables -t filter -A INPUT -i tun0 ACCEPT

## Ne tapez cette commande QUE si vous N'avez PAS d'autres règles déjà en place !
iptables -t filter -A INPUT -i "!ath0" ACCEPT

## Par défaut, on jette tous les paquets en entrée. La règle précédente vous permettra d'avoir encore accès
## à votre machine par le réseau câblé. Sinon, tout sera bloqué...
iptables -t filter -P INPUT DROP

## Les paquets ne doivent pas passer à travers une autre interface directement,
## mais doivent tous être délivré à OpenVPN.
## C'est très important !
iptables -t filter -A FORWARD -i ath0 DROP

## Maintenant, on fait la règle de NAT pour faire sortir les paquets déchiffré par OpenVPN sur Internet.
## Si on ne fait pas ça, seul les paquets à destination du réseau local arriveront à destination.
iptables -t nat -A POSTROUTING -s 192.168.254.1 -j MASQUERADE
</code>

Et comme moi, j'utilise [http://ferm.foo-projects.org/ ferm] pour me simplifier la vie, voici le résumé dans une syntaxe lisible par ce logiciel :
<code>
# Activation du NAT (juste pour le VPN dans ce cas)
table nat {
chain POSTROUTING saddr 192.168.254.1 MASQUERADE;
}
table filter {

#Tout le trafic en sortie est autorisé
chain OUTPUT {
policy ACCEPT;
}

# On filtre tout ce qui arrive
chain INPUT {
policy DROP;
interface ath0 {
proto udp dport openvpn ACCEPT;
proto udp dport bootps ACCEPT;
}
interface tun0 ACCEPT;

# D'autres règles sont nécessaire pour que Internet marche.
interface eth_adsl {
# On accepte seulement les paquets qui reviennent
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}

}

# Interdiction de forwarder des paquets !
chain FORWARD interface ath0 {
DROP;
}

}
</code>
Bon à partir de là, vous pouvez respirer, il est normalement impossible de se connecter via l'interface ath0 sur votre réseau.

= Préparation du client =
Je ne dispose que d'un client sous Ubuntu, donc je ne détaillerai l'installation que pour ce système. Sachez que le client OpenVPN existe sous Windows, mais que la configuration se fait en éditant un fichier de configuration.
== Ubuntu 8.10 avec NetworkManager ==
Il faut préalablement installer les deux paquets suivants :
<code>
apt-get install network-manager-openvpn openvpn
</code>

Ensuite, il suffit suivre les étapes suivantes :
* Cliquer sur l'icône du réseau, et sur "Connexions VPN" puis "Configurer le VPN"
* Cliquer sur "Ajouter"
* Paramètres
** Nom de la connexion : "Mon VPN"
** Passerelle : 192.168.1.254
** Authentification, Type : Certificat "TLS"
** Certificat de l'utilisateur : client.crt
** Certificat du CA : ca.crt
** Clé privée : client.key
** Private Key Password : le mot de passe utilisé pour la génération de la clé client
* Onglet Paramètres IPv4, cliquer sur le bouton "Routes..."
* Cocher la case "Ignorer les routes automatiquement obtenues", pour ignorer les routes obtenues avant la connexion VPN. Je sais, c'est pas clair du tout...
* Valider le tout

Ensuite, il suffit de se connecter au Wifi, et de lancer le VPN. C'est fait :)

= Conclusion =

= Copyright =
{{CC-BY-SA}}

Point d'accès sécurisé par OpenVPN

2009-02-22T16:00:56Z

Glandos : /* Préparation du client */

= Introduction =
Ceci est la suite de [[Créer un point d'accès sécurisé avec hostAPd]]. Pourquoi me direz-vous ? Et bien, d'abord, pour la beauté de la chose. Ensuite, parce que certains clients font tout simplement planter mon point d'accès, qui tourne avec le module Madwifi. Donc j'ai voulu essayer autre chose.

= Présentation =
Le but recherché, et c'est très important de le souligner, est de créer un point d'accès sécurisé sans WEP ni WPA, ni WPA2. Le point d'accès apparaît comme non-sécurisé, mais si tout le monde peut s'y associer, ce n'est pas pour autant qu'il va être ouvert.

Je dispose toujours du même matériel :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable qui a un chipset Wifi Atheros fonctionnant avec ath9k.

<cadre type='alert'>Ce tutoriel décrit les opérations dans le sens logique d'une installation. Cependant, si vous le suivez dans l'ordre, il se peut que votre réseau se retrouve sans défense, et complètement accessible pendant un certain temps. Si vous voulez prendre le moins de risques possible, il est préférable de commencer par les règles IPTables</cadre>

= Pré-requis =
Malheureusement, je ne peux pas considérer que vous partez avec zéro connaissance. Mais voici la liste de ce qui doit déjà marcher sur votre installation :
* Le chipset Wifi doit être reconnu sur le serveur
* Le réseau doit être fonctionnel sur le serveur
* Le serveur dispose d'un serveur DHCP fonctionnel pour le réseau local.
* iptables doit être installé sur le serveur
* Le client doit avoir une carte Wifi qui marche
* Des notions de VPN sont conseillées.

= Préparation du point d'accès =
Toutes les commandes de cette partie sont à exécuter avec les droits du super utilisateur.

== Création de l'interface réseau ==
Disposant d'une carte géré par le pilote madwifi, il me faut tout d'abord créer l'interface à l'aide de <code>wlanconfig</code>. Cela permet de créer plusieurs interfaces virtuelles qui fonctionnent toutes sur la même carte réseau physique, mais dans des modes différents. Allons-y :
<code>
wlanconfig ath0 create wlandev wifi0 wlanmode ap
</code>
Cela crée une interface virtuelle nommée ath0 à partir de la carte wifi0 en mode "ap", c'est-à-dire "Access Point" soit "Point d'accès".

Ensuite, il faut fixer le SSID, c'est à dire le nom du réseau Wifi qui sera identifié par le client :
<code>
iwconfig ath0 essid "Mon OpenVPN"
</code>

Vous pouvez changer d'autres paramètres sur cette interface, comme le canal utilisé. Reportez-vous à la documentation de <code>iwconfig</code> pour en savoir plus.

Et enfin, il faut démarrer l'interface nouvellement créée.
<cadre type='alert'>À partir de là, votre point d'accès peut-être rejoint par n'importe qui !
</cadre>
<code>
ifconfig ath0 192.168.1.254 netmask 255.255.255.0
</code>

Pour rendre cette configuration persistante, il suffit de modifier le fichier <code>/etc/network/interfaces</code> sous Debian et d'y rajouter ces lignes :
<code>
# Interface pour le VPN
auto ath0
iface ath0 inet manual
madwifi-base wifi0
madwifi-mode ap
wireless-channel 9
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

== Installation de OpenVPN ==
Je suis sous Debian, donc si ça vous vexe pas, je vais décrire la procédure d'installation à la mode Debian :) Et c'est plutôt simple :
<code>
apt-get install openvpn
</code>
Pouf pouf, c'est fait. Pour les autres distributions, je doute que ce soit plus compliqué, OpenVPN étant un logiciel couramment utilisé.
== Configuration de OpenVPN ==
=== Génération des certificats ===
Alors je ne vais pas réinventer la roue. Je vous renvoie au tutoriel d'Ubuntu pour [http://doc.ubuntu-fr.org/openvpn#configuration_des_vpn la génération des fichiers du VPN]
=== Création d'un VPN ===
J'ai donc un fichier monvpn.conf dans <code>/etc/openvpn</code> qui ressemble à ça :
<code>
## Pour ne répondre au VPN que sur l'interface ath0
local 192.168.1.254

port 1194

proto udp

## Utilisation du mode routé
dev tun

## Fichiers générés à la section précédente
ca ca.crt
cert monvpn.crt
key monvpn.key # This file should be kept secret

dh dh1024.pem

## Adresse de l'interface de sortie du VPN
server 192.168.254.0 255.255.255.0

ifconfig-pool-persist ipp.txt

## Permet de faire passer tout le trafic du client à travers le VPN
push "redirect-gateway local"

keepalive 10 120

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append /var/log/openvpn.log

verb 3
</code>

J'ai mis des commentaires là où c'est important de comprendre. Les autres paramètres sont nécessaires, mais les garder intacts est une super bonne idée :)

Et après, il n'y a plus qu'à démarrer le VPN :
<code>
/etc/init.d/openvpn start
</code>

Normalement, cette commande est exécutée automatiquement lors du démarrage de la machine. Allez faire un tour dans <code>/etc/default/openvpn</code> pour faire du démarrage sélectif de VPN.

== Modification du pare-feu ==
C'est la partie la plus délicate. C'est celle qui m'a motivé à faire ce tutoriel :) Pour comprendre la suite, il faut comprendre le trajet d'un paquet arrivant par le VPN sur la passerelle :
* ath0 : un paquet arrive encapsulé et chiffré par le port 1194 en UDP
* Le processus OpenVPN, qui écoute sur le port et l'adresse lié à l'interface, reçoit ce paquet, le déchiffre et le renvoi au bon endroit. Comme le client envoie tous les paquets via l'adresse de l'interface créée par OpenVPN soit 192.168.254.1
* tun0 : reçoit donc le paquet en clair, et doit le transmettre à la bonne interface de sortie (car à part le ping, il n'y a rien à destination de cette interface).
* eth_adsl, eth_lan : selon la destination du paquet.

=== Sécurisation de l'interface ath0 ===
Le but est déjà de verrouiller l'interface sans-fil pour ne laisser passer que deux flux :
* Le DHCP. Bah oui, on pourrait configurer les clients à la main, mais c'est quand même plus pratique d'avoir le DHCP qui s'occupe de ça. Et ce n'est pas bien dangereux d'avoir une IP si on ne peut rien faire avec. Pour les paranoïaques, j'imagine que cela pose un problème de sécurité, si jamais il y a des failles dans le serveur DHCP. Il faut savoir qu'en WPA, le chiffrement de la connexion se fait AVANT le DHCP, ce qui est mieux. C'est un inconvénient de cette solution. À vous de voir.
* Le tunnel OpenVPN. Normal.

Donc avec iptables, ça donne ça :
<code>
## ath0 : On accepte les paquets en UDP sur le port du VPN
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 1194 -j ACCEPT

## ath0 : On accepte les paquets en UDP sur le port DHCP
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 67 -j ACCEPT

## tun0 : Il faut bien que le VPN envoie et reçoive des paquets
iptables -t filter -A INPUT -i tun0 ACCEPT

## Ne tapez cette commande QUE si vous N'avez PAS d'autres règles déjà en place !
iptables -t filter -A INPUT -i "!ath0" ACCEPT

## Par défaut, on jette tous les paquets en entrée. La règle précédente vous permettra d'avoir encore accès
## à votre machine par le réseau câblé. Sinon, tout sera bloqué...
iptables -t filter -P INPUT DROP

## Les paquets ne doivent pas passer à travers une autre interface directement,
## mais doivent tous être délivré à OpenVPN.
## C'est très important !
iptables -t filter -A FORWARD -i ath0 DROP

## Maintenant, on fait la règle de NAT pour faire sortir les paquets déchiffré par OpenVPN sur Internet.
## Si on ne fait pas ça, seul les paquets à destination du réseau local arriveront à destination.
iptables -t nat -A POSTROUTING -s 192.168.254.1 -j MASQUERADE
</code>

Et comme moi, j'utilise [http://ferm.foo-projects.org/ ferm] pour me simplifier la vie, voici le résumé dans une syntaxe lisible par ce logiciel :
<code>
# Activation du NAT (juste pour le VPN dans ce cas)
table nat {
chain POSTROUTING saddr 192.168.254.1 MASQUERADE;
}
table filter {

#Tout le trafic en sortie est autorisé
chain OUTPUT {
policy ACCEPT;
}

# On filtre tout ce qui arrive
chain INPUT {
policy DROP;
interface ath0 {
proto udp dport openvpn ACCEPT;
proto udp dport bootps ACCEPT;
}
interface tun0 ACCEPT;

# D'autres règles sont nécessaire pour que Internet marche.
interface eth_adsl {
# On accepte seulement les paquets qui reviennent
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}

}

# Interdiction de forwarder des paquets !
chain FORWARD interface ath0 {
DROP;
}

}
</code>
Bon à partir de là, vous pouvez respirer, il est normalement impossible de se connecter via l'interface ath0 sur votre réseau.

= Préparation du client =
Je ne dispose que d'un client sous Ubuntu, donc je ne détaillerai l'installation que pour ce système. Sachez que le client OpenVPN existe sous Windows, mais que la configuration se fait en éditant un fichier de configuration.
== Ubuntu 8.10 avec NetworkManager ==
Il faut préalablement installer les deux paquets suivants :
<code>
apt-get install network-manager-openvpn openvpn
</code>

Ensuite, il suffit suivre les étapes suivantes :
* Cliquer sur l'icône du réseau, et sur "Connexions VPN" puis "Configurer le VPN"
* Cliquer sur "Ajouter"
* Paramètres
** Nom de la connexion : "Mon VPN"
** Passerelle : 192.168.1.254
** Authentification, Type : Certificat "TLS"
** Certificat de l'utilisateur : client.crt
** Certificat du CA : ca.crt
** Clé privée : client.key
** Private Key Password : le mot de passe utilisé pour la génération de la clé client
* Onglet Paramètres IPv4, cliquer sur le bouton "Routes..."
* Cocher la case "Ignorer les routes automatiquement obtenues", pour ignorer les routes obtenues avant la connexion VPN. Je sais, c'est pas clair du tout...
* Valider le tout

Ensuite, il suffit de se connecter au Wifi, et de lancer le VPN. C'est fait :)

= Conclusion =

= Copyright =
{{CC-BY-SA}}

Point d'accès sécurisé par OpenVPN

2009-02-22T15:59:13Z

Glandos : /* Ubuntu 8.10 avec NetworkManager */

= Introduction =
Ceci est la suite de [[Créer un point d'accès sécurisé avec hostAPd]]. Pourquoi me direz-vous ? Et bien, d'abord, pour la beauté de la chose. Ensuite, parce que certains clients font tout simplement planter mon point d'accès, qui tourne avec le module Madwifi. Donc j'ai voulu essayer autre chose.

= Présentation =
Le but recherché, et c'est très important de le souligner, est de créer un point d'accès sécurisé sans WEP ni WPA, ni WPA2. Le point d'accès apparaît comme non-sécurisé, mais si tout le monde peut s'y associer, ce n'est pas pour autant qu'il va être ouvert.

Je dispose toujours du même matériel :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable qui a un chipset Wifi Atheros fonctionnant avec ath9k.

<cadre type='alert'>Ce tutoriel décrit les opérations dans le sens logique d'une installation. Cependant, si vous le suivez dans l'ordre, il se peut que votre réseau se retrouve sans défense, et complètement accessible pendant un certain temps. Si vous voulez prendre le moins de risques possible, il est préférable de commencer par les règles IPTables</cadre>

= Pré-requis =
Malheureusement, je ne peux pas considérer que vous partez avec zéro connaissance. Mais voici la liste de ce qui doit déjà marcher sur votre installation :
* Le chipset Wifi doit être reconnu sur le serveur
* Le réseau doit être fonctionnel sur le serveur
* Le serveur dispose d'un serveur DHCP fonctionnel pour le réseau local.
* iptables doit être installé sur le serveur
* Le client doit avoir une carte Wifi qui marche
* Des notions de VPN sont conseillées.

= Préparation du point d'accès =
Toutes les commandes de cette partie sont à exécuter avec les droits du super utilisateur.

== Création de l'interface réseau ==
Disposant d'une carte géré par le pilote madwifi, il me faut tout d'abord créer l'interface à l'aide de <code>wlanconfig</code>. Cela permet de créer plusieurs interfaces virtuelles qui fonctionnent toutes sur la même carte réseau physique, mais dans des modes différents. Allons-y :
<code>
wlanconfig ath0 create wlandev wifi0 wlanmode ap
</code>
Cela crée une interface virtuelle nommée ath0 à partir de la carte wifi0 en mode "ap", c'est-à-dire "Access Point" soit "Point d'accès".

Ensuite, il faut fixer le SSID, c'est à dire le nom du réseau Wifi qui sera identifié par le client :
<code>
iwconfig ath0 essid "Mon OpenVPN"
</code>

Vous pouvez changer d'autres paramètres sur cette interface, comme le canal utilisé. Reportez-vous à la documentation de <code>iwconfig</code> pour en savoir plus.

Et enfin, il faut démarrer l'interface nouvellement créée.
<cadre type='alert'>À partir de là, votre point d'accès peut-être rejoint par n'importe qui !
</cadre>
<code>
ifconfig ath0 192.168.1.254 netmask 255.255.255.0
</code>

Pour rendre cette configuration persistante, il suffit de modifier le fichier <code>/etc/network/interfaces</code> sous Debian et d'y rajouter ces lignes :
<code>
# Interface pour le VPN
auto ath0
iface ath0 inet manual
madwifi-base wifi0
madwifi-mode ap
wireless-channel 9
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

== Installation de OpenVPN ==
Je suis sous Debian, donc si ça vous vexe pas, je vais décrire la procédure d'installation à la mode Debian :) Et c'est plutôt simple :
<code>
apt-get install openvpn
</code>
Pouf pouf, c'est fait. Pour les autres distributions, je doute que ce soit plus compliqué, OpenVPN étant un logiciel couramment utilisé.
== Configuration de OpenVPN ==
=== Génération des certificats ===
Alors je ne vais pas réinventer la roue. Je vous renvoie au tutoriel d'Ubuntu pour [http://doc.ubuntu-fr.org/openvpn#configuration_des_vpn la génération des fichiers du VPN]
=== Création d'un VPN ===
J'ai donc un fichier monvpn.conf dans <code>/etc/openvpn</code> qui ressemble à ça :
<code>
## Pour ne répondre au VPN que sur l'interface ath0
local 192.168.1.254

port 1194

proto udp

## Utilisation du mode routé
dev tun

## Fichiers générés à la section précédente
ca ca.crt
cert monvpn.crt
key monvpn.key # This file should be kept secret

dh dh1024.pem

## Adresse de l'interface de sortie du VPN
server 192.168.254.0 255.255.255.0

ifconfig-pool-persist ipp.txt

## Permet de faire passer tout le trafic du client à travers le VPN
push "redirect-gateway local"

keepalive 10 120

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append /var/log/openvpn.log

verb 3
</code>

J'ai mis des commentaires là où c'est important de comprendre. Les autres paramètres sont nécessaires, mais les garder intacts est une super bonne idée :)

Et après, il n'y a plus qu'à démarrer le VPN :
<code>
/etc/init.d/openvpn start
</code>

Normalement, cette commande est exécutée automatiquement lors du démarrage de la machine. Allez faire un tour dans <code>/etc/default/openvpn</code> pour faire du démarrage sélectif de VPN.

== Modification du pare-feu ==
C'est la partie la plus délicate. C'est celle qui m'a motivé à faire ce tutoriel :) Pour comprendre la suite, il faut comprendre le trajet d'un paquet arrivant par le VPN sur la passerelle :
* ath0 : un paquet arrive encapsulé et chiffré par le port 1194 en UDP
* Le processus OpenVPN, qui écoute sur le port et l'adresse lié à l'interface, reçoit ce paquet, le déchiffre et le renvoi au bon endroit. Comme le client envoie tous les paquets via l'adresse de l'interface créée par OpenVPN soit 192.168.254.1
* tun0 : reçoit donc le paquet en clair, et doit le transmettre à la bonne interface de sortie (car à part le ping, il n'y a rien à destination de cette interface).
* eth_adsl, eth_lan : selon la destination du paquet.

=== Sécurisation de l'interface ath0 ===
Le but est déjà de verrouiller l'interface sans-fil pour ne laisser passer que deux flux :
* Le DHCP. Bah oui, on pourrait configurer les clients à la main, mais c'est quand même plus pratique d'avoir le DHCP qui s'occupe de ça. Et ce n'est pas bien dangereux d'avoir une IP si on ne peut rien faire avec. Pour les paranoïaques, j'imagine que cela pose un problème de sécurité, si jamais il y a des failles dans le serveur DHCP. Il faut savoir qu'en WPA, le chiffrement de la connexion se fait AVANT le DHCP, ce qui est mieux. C'est un inconvénient de cette solution. À vous de voir.
* Le tunnel OpenVPN. Normal.

Donc avec iptables, ça donne ça :
<code>
## ath0 : On accepte les paquets en UDP sur le port du VPN
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 1194 -j ACCEPT

## ath0 : On accepte les paquets en UDP sur le port DHCP
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 67 -j ACCEPT

## tun0 : Il faut bien que le VPN envoie et reçoive des paquets
iptables -t filter -A INPUT -i tun0 ACCEPT

## Ne tapez cette commande QUE si vous N'avez PAS d'autres règles déjà en place !
iptables -t filter -A INPUT -i "!ath0" ACCEPT

## Par défaut, on jette tous les paquets en entrée. La règle précédente vous permettra d'avoir encore accès
## à votre machine par le réseau câblé. Sinon, tout sera bloqué...
iptables -t filter -P INPUT DROP

## Les paquets ne doivent pas passer à travers une autre interface directement,
## mais doivent tous être délivré à OpenVPN.
## C'est très important !
iptables -t filter -A FORWARD -i ath0 DROP

## Maintenant, on fait la règle de NAT pour faire sortir les paquets déchiffré par OpenVPN sur Internet.
## Si on ne fait pas ça, seul les paquets à destination du réseau local arriveront à destination.
iptables -t nat -A POSTROUTING -s 192.168.254.1 -j MASQUERADE
</code>

Et comme moi, j'utilise [http://ferm.foo-projects.org/ ferm] pour me simplifier la vie, voici le résumé dans une syntaxe lisible par ce logiciel :
<code>
# Activation du NAT (juste pour le VPN dans ce cas)
table nat {
chain POSTROUTING saddr 192.168.254.1 MASQUERADE;
}
table filter {

#Tout le trafic en sortie est autorisé
chain OUTPUT {
policy ACCEPT;
}

# On filtre tout ce qui arrive
chain INPUT {
policy DROP;
interface ath0 {
proto udp dport openvpn ACCEPT;
proto udp dport bootps ACCEPT;
}
interface tun0 ACCEPT;

# D'autres règles sont nécessaire pour que Internet marche.
interface eth_adsl {
# On accepte seulement les paquets qui reviennent
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}

}

# Interdiction de forwarder des paquets !
chain FORWARD interface ath0 {
DROP;
}

}
</code>
Bon à partir de là, vous pouvez respirer, il est normalement impossible de se connecter via l'interface ath0 sur votre réseau.

= Préparation du client =
== Ubuntu 8.10 avec NetworkManager ==
Il faut préalablement installer les deux paquets suivants :
<code>
apt-get install network-manager-openvpn openvpn
</code>

Ensuite, il suffit suivre les étapes suivantes :
* Cliquer sur l'icône du réseau, et sur "Connexions VPN" puis "Configurer le VPN"
* Cliquer sur "Ajouter"
* Paramètres
** Nom de la connexion : "Mon VPN"
** Passerelle : 192.168.1.254
** Authentification, Type : Certificat "TLS"
** Certificat de l'utilisateur : client.crt
** Certificat du CA : ca.crt
** Clé privée : client.key
** Private Key Password : le mot de passe utilisé pour la génération de la clé client
* Onglet Paramètres IPv4, cliquer sur le bouton "Routes..."
* Cocher la case "Ignorer les routes automatiquement obtenues", pour ignorer les routes obtenues avant la connexion VPN. Je sais, c'est pas clair du tout...
* Valider le tout

Ensuite, il suffit de se connecter au Wifi, et de lancer le VPN. C'est fait :)

= Conclusion =

= Copyright =
{{CC-BY-SA}}

Point d'accès sécurisé par OpenVPN

2009-02-22T15:06:06Z

Glandos : /* Pré-requis */

= Introduction =
Ceci est la suite de [[Créer un point d'accès sécurisé avec hostAPd]]. Pourquoi me direz-vous ? Et bien, d'abord, pour la beauté de la chose. Ensuite, parce que certains clients font tout simplement planter mon point d'accès, qui tourne avec le module Madwifi. Donc j'ai voulu essayer autre chose.

= Présentation =
Le but recherché, et c'est très important de le souligner, est de créer un point d'accès sécurisé sans WEP ni WPA, ni WPA2. Le point d'accès apparaît comme non-sécurisé, mais si tout le monde peut s'y associer, ce n'est pas pour autant qu'il va être ouvert.

Je dispose toujours du même matériel :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable qui a un chipset Wifi Atheros fonctionnant avec ath9k.

<cadre type='alert'>Ce tutoriel décrit les opérations dans le sens logique d'une installation. Cependant, si vous le suivez dans l'ordre, il se peut que votre réseau se retrouve sans défense, et complètement accessible pendant un certain temps. Si vous voulez prendre le moins de risques possible, il est préférable de commencer par les règles IPTables</cadre>

= Pré-requis =
Malheureusement, je ne peux pas considérer que vous partez avec zéro connaissance. Mais voici la liste de ce qui doit déjà marcher sur votre installation :
* Le chipset Wifi doit être reconnu sur le serveur
* Le réseau doit être fonctionnel sur le serveur
* Le serveur dispose d'un serveur DHCP fonctionnel pour le réseau local.
* iptables doit être installé sur le serveur
* Le client doit avoir une carte Wifi qui marche
* Des notions de VPN sont conseillées.

= Préparation du point d'accès =
Toutes les commandes de cette partie sont à exécuter avec les droits du super utilisateur.

== Création de l'interface réseau ==
Disposant d'une carte géré par le pilote madwifi, il me faut tout d'abord créer l'interface à l'aide de <code>wlanconfig</code>. Cela permet de créer plusieurs interfaces virtuelles qui fonctionnent toutes sur la même carte réseau physique, mais dans des modes différents. Allons-y :
<code>
wlanconfig ath0 create wlandev wifi0 wlanmode ap
</code>
Cela crée une interface virtuelle nommée ath0 à partir de la carte wifi0 en mode "ap", c'est-à-dire "Access Point" soit "Point d'accès".

Ensuite, il faut fixer le SSID, c'est à dire le nom du réseau Wifi qui sera identifié par le client :
<code>
iwconfig ath0 essid "Mon OpenVPN"
</code>

Vous pouvez changer d'autres paramètres sur cette interface, comme le canal utilisé. Reportez-vous à la documentation de <code>iwconfig</code> pour en savoir plus.

Et enfin, il faut démarrer l'interface nouvellement créée.
<cadre type='alert'>À partir de là, votre point d'accès peut-être rejoint par n'importe qui !
</cadre>
<code>
ifconfig ath0 192.168.1.254 netmask 255.255.255.0
</code>

Pour rendre cette configuration persistante, il suffit de modifier le fichier <code>/etc/network/interfaces</code> sous Debian et d'y rajouter ces lignes :
<code>
# Interface pour le VPN
auto ath0
iface ath0 inet manual
madwifi-base wifi0
madwifi-mode ap
wireless-channel 9
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

== Installation de OpenVPN ==
Je suis sous Debian, donc si ça vous vexe pas, je vais décrire la procédure d'installation à la mode Debian :) Et c'est plutôt simple :
<code>
apt-get install openvpn
</code>
Pouf pouf, c'est fait. Pour les autres distributions, je doute que ce soit plus compliqué, OpenVPN étant un logiciel couramment utilisé.
== Configuration de OpenVPN ==
=== Génération des certificats ===
Alors je ne vais pas réinventer la roue. Je vous renvoie au tutoriel d'Ubuntu pour [http://doc.ubuntu-fr.org/openvpn#configuration_des_vpn la génération des fichiers du VPN]
=== Création d'un VPN ===
J'ai donc un fichier monvpn.conf dans <code>/etc/openvpn</code> qui ressemble à ça :
<code>
## Pour ne répondre au VPN que sur l'interface ath0
local 192.168.1.254

port 1194

proto udp

## Utilisation du mode routé
dev tun

## Fichiers générés à la section précédente
ca ca.crt
cert monvpn.crt
key monvpn.key # This file should be kept secret

dh dh1024.pem

## Adresse de l'interface de sortie du VPN
server 192.168.254.0 255.255.255.0

ifconfig-pool-persist ipp.txt

## Permet de faire passer tout le trafic du client à travers le VPN
push "redirect-gateway local"

keepalive 10 120

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append /var/log/openvpn.log

verb 3
</code>

J'ai mis des commentaires là où c'est important de comprendre. Les autres paramètres sont nécessaires, mais les garder intacts est une super bonne idée :)

Et après, il n'y a plus qu'à démarrer le VPN :
<code>
/etc/init.d/openvpn start
</code>

Normalement, cette commande est exécutée automatiquement lors du démarrage de la machine. Allez faire un tour dans <code>/etc/default/openvpn</code> pour faire du démarrage sélectif de VPN.

== Modification du pare-feu ==
C'est la partie la plus délicate. C'est celle qui m'a motivé à faire ce tutoriel :) Pour comprendre la suite, il faut comprendre le trajet d'un paquet arrivant par le VPN sur la passerelle :
* ath0 : un paquet arrive encapsulé et chiffré par le port 1194 en UDP
* Le processus OpenVPN, qui écoute sur le port et l'adresse lié à l'interface, reçoit ce paquet, le déchiffre et le renvoi au bon endroit. Comme le client envoie tous les paquets via l'adresse de l'interface créée par OpenVPN soit 192.168.254.1
* tun0 : reçoit donc le paquet en clair, et doit le transmettre à la bonne interface de sortie (car à part le ping, il n'y a rien à destination de cette interface).
* eth_adsl, eth_lan : selon la destination du paquet.

=== Sécurisation de l'interface ath0 ===
Le but est déjà de verrouiller l'interface sans-fil pour ne laisser passer que deux flux :
* Le DHCP. Bah oui, on pourrait configurer les clients à la main, mais c'est quand même plus pratique d'avoir le DHCP qui s'occupe de ça. Et ce n'est pas bien dangereux d'avoir une IP si on ne peut rien faire avec. Pour les paranoïaques, j'imagine que cela pose un problème de sécurité, si jamais il y a des failles dans le serveur DHCP. Il faut savoir qu'en WPA, le chiffrement de la connexion se fait AVANT le DHCP, ce qui est mieux. C'est un inconvénient de cette solution. À vous de voir.
* Le tunnel OpenVPN. Normal.

Donc avec iptables, ça donne ça :
<code>
## ath0 : On accepte les paquets en UDP sur le port du VPN
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 1194 -j ACCEPT

## ath0 : On accepte les paquets en UDP sur le port DHCP
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 67 -j ACCEPT

## tun0 : Il faut bien que le VPN envoie et reçoive des paquets
iptables -t filter -A INPUT -i tun0 ACCEPT

## Ne tapez cette commande QUE si vous N'avez PAS d'autres règles déjà en place !
iptables -t filter -A INPUT -i "!ath0" ACCEPT

## Par défaut, on jette tous les paquets en entrée. La règle précédente vous permettra d'avoir encore accès
## à votre machine par le réseau câblé. Sinon, tout sera bloqué...
iptables -t filter -P INPUT DROP

## Les paquets ne doivent pas passer à travers une autre interface directement,
## mais doivent tous être délivré à OpenVPN.
## C'est très important !
iptables -t filter -A FORWARD -i ath0 DROP

## Maintenant, on fait la règle de NAT pour faire sortir les paquets déchiffré par OpenVPN sur Internet.
## Si on ne fait pas ça, seul les paquets à destination du réseau local arriveront à destination.
iptables -t nat -A POSTROUTING -s 192.168.254.1 -j MASQUERADE
</code>

Et comme moi, j'utilise [http://ferm.foo-projects.org/ ferm] pour me simplifier la vie, voici le résumé dans une syntaxe lisible par ce logiciel :
<code>
# Activation du NAT (juste pour le VPN dans ce cas)
table nat {
chain POSTROUTING saddr 192.168.254.1 MASQUERADE;
}
table filter {

#Tout le trafic en sortie est autorisé
chain OUTPUT {
policy ACCEPT;
}

# On filtre tout ce qui arrive
chain INPUT {
policy DROP;
interface ath0 {
proto udp dport openvpn ACCEPT;
proto udp dport bootps ACCEPT;
}
interface tun0 ACCEPT;

# D'autres règles sont nécessaire pour que Internet marche.
interface eth_adsl {
# On accepte seulement les paquets qui reviennent
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}

}

# Interdiction de forwarder des paquets !
chain FORWARD interface ath0 {
DROP;
}

}
</code>
Bon à partir de là, vous pouvez respirer, il est normalement impossible de se connecter via l'interface ath0 sur votre réseau.

= Préparation du client =
== Ubuntu 8.10 avec NetworkManager ==

= Conclusion =

= Copyright =
{{CC-BY-SA}}

Point d'accès sécurisé par OpenVPN

2009-02-22T15:05:25Z

Glandos : /* Sécurisation de l'interface ath0 */

= Introduction =
Ceci est la suite de [[Créer un point d'accès sécurisé avec hostAPd]]. Pourquoi me direz-vous ? Et bien, d'abord, pour la beauté de la chose. Ensuite, parce que certains clients font tout simplement planter mon point d'accès, qui tourne avec le module Madwifi. Donc j'ai voulu essayer autre chose.

= Présentation =
Le but recherché, et c'est très important de le souligner, est de créer un point d'accès sécurisé sans WEP ni WPA, ni WPA2. Le point d'accès apparaît comme non-sécurisé, mais si tout le monde peut s'y associer, ce n'est pas pour autant qu'il va être ouvert.

Je dispose toujours du même matériel :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable qui a un chipset Wifi Atheros fonctionnant avec ath9k.

<cadre type='alert'>Ce tutoriel décrit les opérations dans le sens logique d'une installation. Cependant, si vous le suivez dans l'ordre, il se peut que votre réseau se retrouve sans défense, et complètement accessible pendant un certain temps. Si vous voulez prendre le moins de risques possible, il est préférable de commencer par les règles IPTables</cadre>

= Pré-requis =
Malheureusement, je ne peux pas considérer que vous partez avec zéro connaissance. Mais voici la liste de ce qui doit déjà marcher sur votre installation :
* Le chipset Wifi doit être reconnu sur le serveur
* Le réseau doit être fonctionnel sur le serveur
* iptables doit être installé sur le serveur
* Le client doit avoir une carte Wifi qui marche
* Des notions de VPN sont conseillées.

= Préparation du point d'accès =
Toutes les commandes de cette partie sont à exécuter avec les droits du super utilisateur.

== Création de l'interface réseau ==
Disposant d'une carte géré par le pilote madwifi, il me faut tout d'abord créer l'interface à l'aide de <code>wlanconfig</code>. Cela permet de créer plusieurs interfaces virtuelles qui fonctionnent toutes sur la même carte réseau physique, mais dans des modes différents. Allons-y :
<code>
wlanconfig ath0 create wlandev wifi0 wlanmode ap
</code>
Cela crée une interface virtuelle nommée ath0 à partir de la carte wifi0 en mode "ap", c'est-à-dire "Access Point" soit "Point d'accès".

Ensuite, il faut fixer le SSID, c'est à dire le nom du réseau Wifi qui sera identifié par le client :
<code>
iwconfig ath0 essid "Mon OpenVPN"
</code>

Vous pouvez changer d'autres paramètres sur cette interface, comme le canal utilisé. Reportez-vous à la documentation de <code>iwconfig</code> pour en savoir plus.

Et enfin, il faut démarrer l'interface nouvellement créée.
<cadre type='alert'>À partir de là, votre point d'accès peut-être rejoint par n'importe qui !
</cadre>
<code>
ifconfig ath0 192.168.1.254 netmask 255.255.255.0
</code>

Pour rendre cette configuration persistante, il suffit de modifier le fichier <code>/etc/network/interfaces</code> sous Debian et d'y rajouter ces lignes :
<code>
# Interface pour le VPN
auto ath0
iface ath0 inet manual
madwifi-base wifi0
madwifi-mode ap
wireless-channel 9
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

== Installation de OpenVPN ==
Je suis sous Debian, donc si ça vous vexe pas, je vais décrire la procédure d'installation à la mode Debian :) Et c'est plutôt simple :
<code>
apt-get install openvpn
</code>
Pouf pouf, c'est fait. Pour les autres distributions, je doute que ce soit plus compliqué, OpenVPN étant un logiciel couramment utilisé.
== Configuration de OpenVPN ==
=== Génération des certificats ===
Alors je ne vais pas réinventer la roue. Je vous renvoie au tutoriel d'Ubuntu pour [http://doc.ubuntu-fr.org/openvpn#configuration_des_vpn la génération des fichiers du VPN]
=== Création d'un VPN ===
J'ai donc un fichier monvpn.conf dans <code>/etc/openvpn</code> qui ressemble à ça :
<code>
## Pour ne répondre au VPN que sur l'interface ath0
local 192.168.1.254

port 1194

proto udp

## Utilisation du mode routé
dev tun

## Fichiers générés à la section précédente
ca ca.crt
cert monvpn.crt
key monvpn.key # This file should be kept secret

dh dh1024.pem

## Adresse de l'interface de sortie du VPN
server 192.168.254.0 255.255.255.0

ifconfig-pool-persist ipp.txt

## Permet de faire passer tout le trafic du client à travers le VPN
push "redirect-gateway local"

keepalive 10 120

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append /var/log/openvpn.log

verb 3
</code>

J'ai mis des commentaires là où c'est important de comprendre. Les autres paramètres sont nécessaires, mais les garder intacts est une super bonne idée :)

Et après, il n'y a plus qu'à démarrer le VPN :
<code>
/etc/init.d/openvpn start
</code>

Normalement, cette commande est exécutée automatiquement lors du démarrage de la machine. Allez faire un tour dans <code>/etc/default/openvpn</code> pour faire du démarrage sélectif de VPN.

== Modification du pare-feu ==
C'est la partie la plus délicate. C'est celle qui m'a motivé à faire ce tutoriel :) Pour comprendre la suite, il faut comprendre le trajet d'un paquet arrivant par le VPN sur la passerelle :
* ath0 : un paquet arrive encapsulé et chiffré par le port 1194 en UDP
* Le processus OpenVPN, qui écoute sur le port et l'adresse lié à l'interface, reçoit ce paquet, le déchiffre et le renvoi au bon endroit. Comme le client envoie tous les paquets via l'adresse de l'interface créée par OpenVPN soit 192.168.254.1
* tun0 : reçoit donc le paquet en clair, et doit le transmettre à la bonne interface de sortie (car à part le ping, il n'y a rien à destination de cette interface).
* eth_adsl, eth_lan : selon la destination du paquet.

=== Sécurisation de l'interface ath0 ===
Le but est déjà de verrouiller l'interface sans-fil pour ne laisser passer que deux flux :
* Le DHCP. Bah oui, on pourrait configurer les clients à la main, mais c'est quand même plus pratique d'avoir le DHCP qui s'occupe de ça. Et ce n'est pas bien dangereux d'avoir une IP si on ne peut rien faire avec. Pour les paranoïaques, j'imagine que cela pose un problème de sécurité, si jamais il y a des failles dans le serveur DHCP. Il faut savoir qu'en WPA, le chiffrement de la connexion se fait AVANT le DHCP, ce qui est mieux. C'est un inconvénient de cette solution. À vous de voir.
* Le tunnel OpenVPN. Normal.

Donc avec iptables, ça donne ça :
<code>
## ath0 : On accepte les paquets en UDP sur le port du VPN
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 1194 -j ACCEPT

## ath0 : On accepte les paquets en UDP sur le port DHCP
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 67 -j ACCEPT

## tun0 : Il faut bien que le VPN envoie et reçoive des paquets
iptables -t filter -A INPUT -i tun0 ACCEPT

## Ne tapez cette commande QUE si vous N'avez PAS d'autres règles déjà en place !
iptables -t filter -A INPUT -i "!ath0" ACCEPT

## Par défaut, on jette tous les paquets en entrée. La règle précédente vous permettra d'avoir encore accès
## à votre machine par le réseau câblé. Sinon, tout sera bloqué...
iptables -t filter -P INPUT DROP

## Les paquets ne doivent pas passer à travers une autre interface directement,
## mais doivent tous être délivré à OpenVPN.
## C'est très important !
iptables -t filter -A FORWARD -i ath0 DROP

## Maintenant, on fait la règle de NAT pour faire sortir les paquets déchiffré par OpenVPN sur Internet.
## Si on ne fait pas ça, seul les paquets à destination du réseau local arriveront à destination.
iptables -t nat -A POSTROUTING -s 192.168.254.1 -j MASQUERADE
</code>

Et comme moi, j'utilise [http://ferm.foo-projects.org/ ferm] pour me simplifier la vie, voici le résumé dans une syntaxe lisible par ce logiciel :
<code>
# Activation du NAT (juste pour le VPN dans ce cas)
table nat {
chain POSTROUTING saddr 192.168.254.1 MASQUERADE;
}
table filter {

#Tout le trafic en sortie est autorisé
chain OUTPUT {
policy ACCEPT;
}

# On filtre tout ce qui arrive
chain INPUT {
policy DROP;
interface ath0 {
proto udp dport openvpn ACCEPT;
proto udp dport bootps ACCEPT;
}
interface tun0 ACCEPT;

# D'autres règles sont nécessaire pour que Internet marche.
interface eth_adsl {
# On accepte seulement les paquets qui reviennent
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}

}

# Interdiction de forwarder des paquets !
chain FORWARD interface ath0 {
DROP;
}

}
</code>
Bon à partir de là, vous pouvez respirer, il est normalement impossible de se connecter via l'interface ath0 sur votre réseau.

= Préparation du client =
== Ubuntu 8.10 avec NetworkManager ==

= Conclusion =

= Copyright =
{{CC-BY-SA}}

Point d'accès sécurisé par OpenVPN

2009-02-22T15:02:52Z

Glandos : /* Préparation du point d'accès */ Remplissage

= Introduction =
Ceci est la suite de [[Créer un point d'accès sécurisé avec hostAPd]]. Pourquoi me direz-vous ? Et bien, d'abord, pour la beauté de la chose. Ensuite, parce que certains clients font tout simplement planter mon point d'accès, qui tourne avec le module Madwifi. Donc j'ai voulu essayer autre chose.

= Présentation =
Le but recherché, et c'est très important de le souligner, est de créer un point d'accès sécurisé sans WEP ni WPA, ni WPA2. Le point d'accès apparaît comme non-sécurisé, mais si tout le monde peut s'y associer, ce n'est pas pour autant qu'il va être ouvert.

Je dispose toujours du même matériel :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable qui a un chipset Wifi Atheros fonctionnant avec ath9k.

<cadre type='alert'>Ce tutoriel décrit les opérations dans le sens logique d'une installation. Cependant, si vous le suivez dans l'ordre, il se peut que votre réseau se retrouve sans défense, et complètement accessible pendant un certain temps. Si vous voulez prendre le moins de risques possible, il est préférable de commencer par les règles IPTables</cadre>

= Pré-requis =
Malheureusement, je ne peux pas considérer que vous partez avec zéro connaissance. Mais voici la liste de ce qui doit déjà marcher sur votre installation :
* Le chipset Wifi doit être reconnu sur le serveur
* Le réseau doit être fonctionnel sur le serveur
* iptables doit être installé sur le serveur
* Le client doit avoir une carte Wifi qui marche
* Des notions de VPN sont conseillées.

= Préparation du point d'accès =
Toutes les commandes de cette partie sont à exécuter avec les droits du super utilisateur.

== Création de l'interface réseau ==
Disposant d'une carte géré par le pilote madwifi, il me faut tout d'abord créer l'interface à l'aide de <code>wlanconfig</code>. Cela permet de créer plusieurs interfaces virtuelles qui fonctionnent toutes sur la même carte réseau physique, mais dans des modes différents. Allons-y :
<code>
wlanconfig ath0 create wlandev wifi0 wlanmode ap
</code>
Cela crée une interface virtuelle nommée ath0 à partir de la carte wifi0 en mode "ap", c'est-à-dire "Access Point" soit "Point d'accès".

Ensuite, il faut fixer le SSID, c'est à dire le nom du réseau Wifi qui sera identifié par le client :
<code>
iwconfig ath0 essid "Mon OpenVPN"
</code>

Vous pouvez changer d'autres paramètres sur cette interface, comme le canal utilisé. Reportez-vous à la documentation de <code>iwconfig</code> pour en savoir plus.

Et enfin, il faut démarrer l'interface nouvellement créée.
<cadre type='alert'>À partir de là, votre point d'accès peut-être rejoint par n'importe qui !
</cadre>
<code>
ifconfig ath0 192.168.1.254 netmask 255.255.255.0
</code>

Pour rendre cette configuration persistante, il suffit de modifier le fichier <code>/etc/network/interfaces</code> sous Debian et d'y rajouter ces lignes :
<code>
# Interface pour le VPN
auto ath0
iface ath0 inet manual
madwifi-base wifi0
madwifi-mode ap
wireless-channel 9
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

== Installation de OpenVPN ==
Je suis sous Debian, donc si ça vous vexe pas, je vais décrire la procédure d'installation à la mode Debian :) Et c'est plutôt simple :
<code>
apt-get install openvpn
</code>
Pouf pouf, c'est fait. Pour les autres distributions, je doute que ce soit plus compliqué, OpenVPN étant un logiciel couramment utilisé.
== Configuration de OpenVPN ==
=== Génération des certificats ===
Alors je ne vais pas réinventer la roue. Je vous renvoie au tutoriel d'Ubuntu pour [http://doc.ubuntu-fr.org/openvpn#configuration_des_vpn la génération des fichiers du VPN]
=== Création d'un VPN ===
J'ai donc un fichier monvpn.conf dans <code>/etc/openvpn</code> qui ressemble à ça :
<code>
## Pour ne répondre au VPN que sur l'interface ath0
local 192.168.1.254

port 1194

proto udp

## Utilisation du mode routé
dev tun

## Fichiers générés à la section précédente
ca ca.crt
cert monvpn.crt
key monvpn.key # This file should be kept secret

dh dh1024.pem

## Adresse de l'interface de sortie du VPN
server 192.168.254.0 255.255.255.0

ifconfig-pool-persist ipp.txt

## Permet de faire passer tout le trafic du client à travers le VPN
push "redirect-gateway local"

keepalive 10 120

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append /var/log/openvpn.log

verb 3
</code>

J'ai mis des commentaires là où c'est important de comprendre. Les autres paramètres sont nécessaires, mais les garder intacts est une super bonne idée :)

Et après, il n'y a plus qu'à démarrer le VPN :
<code>
/etc/init.d/openvpn start
</code>

Normalement, cette commande est exécutée automatiquement lors du démarrage de la machine. Allez faire un tour dans <code>/etc/default/openvpn</code> pour faire du démarrage sélectif de VPN.

== Modification du pare-feu ==
C'est la partie la plus délicate. C'est celle qui m'a motivé à faire ce tutoriel :) Pour comprendre la suite, il faut comprendre le trajet d'un paquet arrivant par le VPN sur la passerelle :
* ath0 : un paquet arrive encapsulé et chiffré par le port 1194 en UDP
* Le processus OpenVPN, qui écoute sur le port et l'adresse lié à l'interface, reçoit ce paquet, le déchiffre et le renvoi au bon endroit. Comme le client envoie tous les paquets via l'adresse de l'interface créée par OpenVPN soit 192.168.254.1
* tun0 : reçoit donc le paquet en clair, et doit le transmettre à la bonne interface de sortie (car à part le ping, il n'y a rien à destination de cette interface).
* eth_adsl, eth_lan : selon la destination du paquet.

=== Sécurisation de l'interface ath0 ===
Le but est déjà de verrouiller l'interface sans-fil pour ne laisser passer que deux flux :
* Le DHCP. Bah oui, on pourrait configurer les clients à la main, mais c'est quand même plus pratique d'avoir le DHCP qui s'occupe de ça. Et ce n'est pas bien dangereux d'avoir une IP si on ne peut rien faire avec. Pour les paranoïaques, j'imagine que cela pose un problème de sécurité, si jamais il y a des failles dans le serveur DHCP. Il faut savoir qu'en WPA, le chiffrement de la connexion se fait AVANT le DHCP, ce qui est mieux. C'est un inconvénient de cette solution. À vous de voir.
* Le tunnel OpenVPN. Normal.

Donc avec iptables, ça donne ça :
<code>
## ath0 : On accepte les paquets en UDP sur le port du VPN
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 1194 -j ACCEPT
## ath0 : On accepte les paquets en UDP sur le port DHCP
iptables -t filter -A INPUT -i ath0 -p udp -m udp --dport 67 -j ACCEPT
## tun0 : Il faut bien que le VPN envoie et reçoive des paquets
iptables -t filter -A INPUT -i tun0 ACCEPT

## Ne tapez cette commande QUE si vous N'avez PAS d'autres règles déjà en place !
iptables -t filter -A INPUT -i "!ath0" ACCEPT
## Par défaut, on jette tous les paquets en entrée. La règle précédente vous permettra d'avoir encore accès à votre machine par le réseau câblé. Sinon, tout sera bloqué...
iptables -t filter -P INPUT DROP
## Les paquets ne doivent pas passer à travers une autre interface directement, mais doivent tous être délivré à OpenVPN. C'est très important !
iptables -t filter -A FORWARD -i ath0 DROP

## Maintenant, on fait la règle de NAT pour faire sortir les paquets déchiffré par OpenVPN sur Internet. Si on ne fait pas ça, seul les paquets à destination du réseau local arriveront à destination.
iptables -t nat -A POSTROUTING -s 192.168.254.1 -j MASQUERADE
</code>

Et comme moi, j'utilise [http://ferm.foo-projects.org/ ferm] pour me simplifier la vie, voici le résumé dans une syntaxe lisible par ce logiciel :
<code>
# Activation du NAT (juste pour le VPN dans ce cas)
table nat {
chain POSTROUTING saddr 192.168.254.1 MASQUERADE;
}
table filter {

#Tout le trafic en sortie est autorisé
chain OUTPUT {
policy ACCEPT;
}

# On filtre tout ce qui arrive
chain INPUT {
policy DROP;
interface ath0 {
proto udp dport openvpn ACCEPT;
proto udp dport bootps ACCEPT;
}
interface tun0 ACCEPT;

# D'autres règles sont nécessaire pour que Internet marche.
interface eth_adsl {
# On accepte seulement les paquets qui reviennent
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}

}

# Interdiction de forwarder des paquets !
chain FORWARD interface ath0 {
DROP;
}

}
</code>
Bon à partir de là, vous pouvez respirer, il est normalement impossible de se connecter via l'interface ath0 sur votre réseau.

= Préparation du client =
== Ubuntu 8.10 avec NetworkManager ==

= Conclusion =

= Copyright =
{{CC-BY-SA}}

Point d'accès sécurisé par OpenVPN

2009-02-22T13:48:23Z

Glandos : /* Pré-requis */ ajout d'un prérequis

Point d'accès sécurisé par OpenVPN

2009-02-22T13:31:30Z

Glandos : Création : Présentation, prérequis, et squelette

Point d'accès sécurisé par hostAPd

2006-12-15T16:16:33Z

Glandos : /* Configuration de hostAPd */

= Introduction =
[[Catégorie:Administration réseau]][[Catégorie:Réseau]][[Catégorie:Réseau local]]
Ce n'est pas vraiment un tutoriel, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriels. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utiles.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilé avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking force-reload
</code>

Soit :<code>/etc/init.d/networking stop && /etc/init.d/networking start
</code>

Soit carrément un bon vieux reboot :<code>reboot
</code>

Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtries par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à leur juste valeur les hormones de bien-être sécrétées par une digestion bien méritée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Lors de la première version de ce tutoriel, il fallait recompiler hostAPd soit même pour que ça marche. Aujourd'hui, plus la peine de se fatiguer, du moins pour les cartes avec chipset Atheros. Je laisse cependant le passage sur la compilation, pour les gens dans le besoin

=== Avec les paquets Debian ===
Je ne pense pas surprendre la foule en disant qu'il faut simplement lancer la commande :<code>apt-get install hostapd
</code>
Simple, efficace, propre. Vous pouvez passer au chapitre suivant :)

=== Compilation ===
La première fois, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd étaient présents mais pas compilés avec les bonnes options pour madwifi, et les sources étaient celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. C'est pas trop dur, à la base, il y a trois fichiers, placés comme d'habitude dans /etc. À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.

=== Après une compilation manuelle ===
Si vous avez compilé vous même hostapd, je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :)

On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>

=== Pour tout le monde ===
Maintenant, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est
# néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une
# demande d'accès et pourra alors, sur cette seule adresse, soit continuer le
# processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
La première version de ce tutorial a été fait lors du temps révolu d'Ubuntu 5.10 Breezy Badger. Aujourd'hui, avec Ubuntu 6.10 Edgy Eft, le NetworkManager a résolu mes soucis. Je laisse cependant l'ancienne version au cas où...

=== Depuis Edgy Eft ===
Je vous conseille vivement d'installer l'application NetworkManager, c'est le meilleur choix. Ce n'est pas très mature, mais très prometteur.
Il faut installer le paquet network-manager : soit avec synaptic, soit avec la commande :<code>apt-get install network-manager
</code>

Cette application va s'occuper de configurer pour vous le réseau, de manière transparente. Seulement pour cela, il va falloir nettoyer le fichier ''/etc/network/interfaces'' afin de ne plus faire apparaitre les interfaces réseaux. NetworkManager ignorera toutes les interfaces déjà configurées par le biais de ce fichier. Chez moi, au final, il ne restait plus que l'interface ''lo''

Ensuite, lancez la commande :<code>nm-applet
</code>
Dans votre emplacement système (les icônes en haut à droite), devrait apparaitre une icône sympa. Cliquez dessus, et il y a les réseaux Wifi détectés, ainsi que le réseau filaire si nécessaire. La suite est tellement triviale que je ne vous insulterai pas en la décrivant. Ceci étant dit, je reste disponible pour expliquer aux plus novices d'entre nous !

Cette application doit se lancer à chaque démarrage. Vous pouvez le vérifier dans la liste des applications lancées au démarrage (Menu Système > Préférences > Je sais plus trop quelle appli)

==== Limitations ====
La version actuelle de NetworkManager marche, mais impose les limitations suivantes :
- Une seule interface d'active à la fois
- La nécessité de taper le mot de passe du stockage des clés à chaque démarrage
- Pas de connexions tant que l'utilisateur ne s'est pas identifié de manière graphique
- Pas de préférences globales, pour tous les utilisateurs de la machine

Ceci sera résolu dans la prochaine version de NetworkManager (0.7), qui ne devrait pas être incluse avant la prochaine Ubuntu (7.04 Feisty Fawn). En attendant, c'est quand même fonctionnel et '''largement''' plus simple que la ''méthode geek''

=== Breezy Badger ===
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

==== Configuration des interfaces ====
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

==== Installation et utilisation de wpasupplicant ====
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

==== Pistes en cas de problèmes ====
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

= Conclusion =

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-12-15T16:13:59Z

Glandos : /* Configuration de hostAPd */

= Introduction =
[[Catégorie:Administration réseau]][[Catégorie:Réseau]][[Catégorie:Réseau local]]
Ce n'est pas vraiment un tutoriel, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriels. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utiles.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilé avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking force-reload
</code>

Soit :<code>/etc/init.d/networking stop && /etc/init.d/networking start
</code>

Soit carrément un bon vieux reboot :<code>reboot
</code>

Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtries par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à leur juste valeur les hormones de bien-être sécrétées par une digestion bien méritée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Lors de la première version de ce tutoriel, il fallait recompiler hostAPd soit même pour que ça marche. Aujourd'hui, plus la peine de se fatiguer, du moins pour les cartes avec chipset Atheros. Je laisse cependant le passage sur la compilation, pour les gens dans le besoin

=== Avec les paquets Debian ===
Je ne pense pas surprendre la foule en disant qu'il faut simplement lancer la commande :<code>apt-get install hostapd
</code>
Simple, efficace, propre. Vous pouvez passer au chapitre suivant :)

=== Compilation ===
La première fois, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd étaient présents mais pas compilés avec les bonnes options pour madwifi, et les sources étaient celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd.

Si vous avez compilé vous même hostapd, je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :)

À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est
# néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une
# demande d'accès et pourra alors, sur cette seule adresse, soit continuer le
# processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
La première version de ce tutorial a été fait lors du temps révolu d'Ubuntu 5.10 Breezy Badger. Aujourd'hui, avec Ubuntu 6.10 Edgy Eft, le NetworkManager a résolu mes soucis. Je laisse cependant l'ancienne version au cas où...

=== Depuis Edgy Eft ===
Je vous conseille vivement d'installer l'application NetworkManager, c'est le meilleur choix. Ce n'est pas très mature, mais très prometteur.
Il faut installer le paquet network-manager : soit avec synaptic, soit avec la commande :<code>apt-get install network-manager
</code>

Cette application va s'occuper de configurer pour vous le réseau, de manière transparente. Seulement pour cela, il va falloir nettoyer le fichier ''/etc/network/interfaces'' afin de ne plus faire apparaitre les interfaces réseaux. NetworkManager ignorera toutes les interfaces déjà configurées par le biais de ce fichier. Chez moi, au final, il ne restait plus que l'interface ''lo''

Ensuite, lancez la commande :<code>nm-applet
</code>
Dans votre emplacement système (les icônes en haut à droite), devrait apparaitre une icône sympa. Cliquez dessus, et il y a les réseaux Wifi détectés, ainsi que le réseau filaire si nécessaire. La suite est tellement triviale que je ne vous insulterai pas en la décrivant. Ceci étant dit, je reste disponible pour expliquer aux plus novices d'entre nous !

Cette application doit se lancer à chaque démarrage. Vous pouvez le vérifier dans la liste des applications lancées au démarrage (Menu Système > Préférences > Je sais plus trop quelle appli)

==== Limitations ====
La version actuelle de NetworkManager marche, mais impose les limitations suivantes :
- Une seule interface d'active à la fois
- La nécessité de taper le mot de passe du stockage des clés à chaque démarrage
- Pas de connexions tant que l'utilisateur ne s'est pas identifié de manière graphique
- Pas de préférences globales, pour tous les utilisateurs de la machine

Ceci sera résolu dans la prochaine version de NetworkManager (0.7), qui ne devrait pas être incluse avant la prochaine Ubuntu (7.04 Feisty Fawn). En attendant, c'est quand même fonctionnel et '''largement''' plus simple que la ''méthode geek''

=== Breezy Badger ===
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

==== Configuration des interfaces ====
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

==== Installation et utilisation de wpasupplicant ====
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

==== Pistes en cas de problèmes ====
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

= Conclusion =

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-10-31T16:40:52Z

Glandos : /* Sous Ubuntu ... */ Ajout Edgy

= Introduction =
[[Catégorie:Administration réseau]][[Catégorie:Réseau]][[Catégorie:Réseau local]]
Ce n'est pas vraiment un tutoriel, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriels. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utiles.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilé avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking force-reload
</code>

Soit :<code>/etc/init.d/networking stop && /etc/init.d/networking start
</code>

Soit carrément un bon vieux reboot :<code>reboot
</code>

Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtries par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à leur juste valeur les hormones de bien-être sécrétées par une digestion bien méritée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Lors de la première version de ce tutoriel, il fallait recompiler hostAPd soit même pour que ça marche. Aujourd'hui, plus la peine de se fatiguer, du moins pour les cartes avec chipset Atheros. Je laisse cependant le passage sur la compilation, pour les gens dans le besoin

=== Avec les paquets Debian ===
Je ne pense pas surprendre la foule en disant qu'il faut simplement lancer la commande :<code>apt-get install hostapd
</code>
Simple, efficace, propre. Vous pouvez passer au chapitre suivant :)

=== Compilation ===
La première fois, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd étaient présents mais pas compilés avec les bonnes options pour madwifi, et les sources étaient celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est
# néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une
# demande d'accès et pourra alors, sur cette seule adresse, soit continuer le
# processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
La première version de ce tutorial a été fait lors du temps révolu d'Ubuntu 5.10 Breezy Badger. Aujourd'hui, avec Ubuntu 6.10 Edgy Eft, le NetworkManager a résolu mes soucis. Je laisse cependant l'ancienne version au cas où...

=== Depuis Edgy Eft ===
Je vous conseille vivement d'installer l'application NetworkManager, c'est le meilleur choix. Ce n'est pas très mature, mais très prometteur.
Il faut installer le paquet network-manager : soit avec synaptic, soit avec la commande :<code>apt-get install network-manager
</code>

Cette application va s'occuper de configurer pour vous le réseau, de manière transparente. Seulement pour cela, il va falloir nettoyer le fichier ''/etc/network/interfaces'' afin de ne plus faire apparaitre les interfaces réseaux. NetworkManager ignorera toutes les interfaces déjà configurées par le biais de ce fichier. Chez moi, au final, il ne restait plus que l'interface ''lo''

Ensuite, lancez la commande :<code>nm-applet
</code>
Dans votre emplacement système (les icônes en haut à droite), devrait apparaitre une icône sympa. Cliquez dessus, et il y a les réseaux Wifi détectés, ainsi que le réseau filaire si nécessaire. La suite est tellement triviale que je ne vous insulterai pas en la décrivant. Ceci étant dit, je reste disponible pour expliquer aux plus novices d'entre nous !

Cette application doit se lancer à chaque démarrage. Vous pouvez le vérifier dans la liste des applications lancées au démarrage (Menu Système > Préférences > Je sais plus trop quelle appli)

==== Limitations ====
La version actuelle de NetworkManager marche, mais impose les limitations suivantes :
- Une seule interface d'active à la fois
- La nécessité de taper le mot de passe du stockage des clés à chaque démarrage
- Pas de connexions tant que l'utilisateur ne s'est pas identifié de manière graphique
- Pas de préférences globales, pour tous les utilisateurs de la machine

Ceci sera résolu dans la prochaine version de NetworkManager (0.7), qui ne devrait pas être incluse avant la prochaine Ubuntu (7.04 Feisty Fawn). En attendant, c'est quand même fonctionnel et '''largement''' plus simple que la ''méthode geek''

=== Breezy Badger ===
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

==== Configuration des interfaces ====
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

==== Installation et utilisation de wpasupplicant ====
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

==== Pistes en cas de problèmes ====
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

= Conclusion =

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-10-31T16:02:13Z

Glandos : /* Compilation */ Changements des temps des verbes

= Introduction =
[[Catégorie:Administration réseau]][[Catégorie:Réseau]][[Catégorie:Réseau local]]
Ce n'est pas vraiment un tutoriel, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriels. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utiles.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilé avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking force-reload
</code>

Soit :<code>/etc/init.d/networking stop && /etc/init.d/networking start
</code>

Soit carrément un bon vieux reboot :<code>reboot
</code>

Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtries par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à leur juste valeur les hormones de bien-être sécrétées par une digestion bien méritée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Lors de la première version de ce tutoriel, il fallait recompiler hostAPd soit même pour que ça marche. Aujourd'hui, plus la peine de se fatiguer, du moins pour les cartes avec chipset Atheros. Je laisse cependant le passage sur la compilation, pour les gens dans le besoin

=== Avec les paquets Debian ===
Je ne pense pas surprendre la foule en disant qu'il faut simplement lancer la commande :<code>apt-get install hostapd
</code>
Simple, efficace, propre. Vous pouvez passer au chapitre suivant :)

=== Compilation ===
La première fois, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd étaient présents mais pas compilés avec les bonnes options pour madwifi, et les sources étaient celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est
# néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une
# demande d'accès et pourra alors, sur cette seule adresse, soit continuer le
# processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

= Conclusion =

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-10-31T16:00:35Z

Glandos : /* Créer le point d'accès */ Ajout de la section "paquets debian"

= Introduction =
[[Catégorie:Administration réseau]][[Catégorie:Réseau]][[Catégorie:Réseau local]]
Ce n'est pas vraiment un tutoriel, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriels. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utiles.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilé avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking force-reload
</code>

Soit :<code>/etc/init.d/networking stop && /etc/init.d/networking start
</code>

Soit carrément un bon vieux reboot :<code>reboot
</code>

Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtries par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à leur juste valeur les hormones de bien-être sécrétées par une digestion bien méritée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Lors de la première version de ce tutoriel, il fallait recompiler hostAPd soit même pour que ça marche. Aujourd'hui, plus la peine de se fatiguer, du moins pour les cartes avec chipset Atheros. Je laisse cependant le passage sur la compilation, pour les gens dans le besoin

=== Avec les paquets Debian ===
Je ne pense pas surprendre la foule en disant qu'il faut simplement lancer la commande :<code>apt-get install hostapd
</code>
Simple, efficace, propre. Vous pouvez passer au chapitre suivant :)

=== Compilation ===
La première fois, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est
# néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une
# demande d'accès et pourra alors, sur cette seule adresse, soit continuer le
# processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

= Conclusion =

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-10-31T15:42:34Z

Glandos : /* Activation */ Mise en forme

= Introduction =
[[Catégorie:Administration réseau]][[Catégorie:Réseau]][[Catégorie:Réseau local]]
Ce n'est pas vraiment un tutoriel, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriels. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utiles.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilé avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking force-reload
</code>

Soit :<code>/etc/init.d/networking stop && /etc/init.d/networking start
</code>

Soit carrément un bon vieux reboot :<code>reboot
</code>

Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtries par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à leur juste valeur les hormones de bien-être sécrétées par une digestion bien méritée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est
# néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une
# demande d'accès et pourra alors, sur cette seule adresse, soit continuer le
# processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

= Conclusion =

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

{{Copy|Avril 2006|Glandos|FDL}}

Discussion:Point d'accès sécurisé par hostAPd

2006-10-08T10:52:34Z

Glandos :

Sur cette page, vous pouvez laisser tout ce qui vous passe par la tête, mais en rapport avec la page bien sûr :) --[[Utilisateur:Glandos|Glandos]] 22 mai 2006 à 18:57 (CEST)

est ce que quelqu'un peut nous dire comment realiser un hostap avec integrated eap server
qu'est qu'on met dans le fichier de configuration!!!

Ahem, le mieux est quand même de bien formuler la demande... Avec une signature tout ça :)
Sinon, désolé, je ne suis pas au fait de ce genre de solution, je ne me suis intéressé qu'à l'authentification WPA PSK :( --[[Utilisateur:Glandos|Glandos]] 8 oct 2006 à 12:52 (CEST)

Discussion:Point d'accès sécurisé par hostAPd

2006-05-22T16:57:29Z

Glandos :

Sur cette page, vous pouvez laisser tout ce qui vous passe par la tête, mais en rapport avec la page bien sûr :) --[[Utilisateur:Glandos|Glandos]] 22 mai 2006 à 18:57 (CEST)

Point d'accès sécurisé par hostAPd

2006-04-28T21:02:05Z

Glandos : /* Configuration de hostAPd */

{{ en construction }}
<cadre type=alert>Voilà, à part les TODO, je crois que j'ai fini. Merci de ne pas hésiter à me relire, me corriger. Pour les petites fautes (frappe, orthographe, faites-le directement en indiquant la modification dans le résumé en bas. Sinon, merci de d'abord passer par la page de discussion, c'est plus civique :)
</cadre>

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtris par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à sa juste valeur les hormones de bien-être sécrétées par une digestion bien mérité :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est
# néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une
# demande d'accès et pourra alors, sur cette seule adresse, soit continuer le
# processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

= Conclusion =

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-04-28T13:34:43Z

Glandos :

{{ en construction }}
<cadre type=alert>Voilà, à part les TODO, je crois que j'ai fini. Merci de ne pas hésiter à me relire, me corriger. Pour les petites fautes (frappe, orthographe, faites-le directement en indiquant la modification dans le résumé en bas. Sinon, merci de d'abord passer par la page de discussion, c'est plus civique :)
</cadre>

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtris par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à sa juste valeur les hormones de bien-être sécrétées par une digestion bien mérité :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

= Conclusion =

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-04-28T13:33:57Z

Glandos : Conclusion

{{ en construction }}
<cadre type=alert>Voilà, à part les TODO, je crois que j'ai fini. Merci de ne pas hésiter à me relire, me corriger. Pour les petites fautes (frappe, orthographe, faites-le directement en indiquant la modification dans le résumé en bas. Sinon, merci de d'abord passer par la page de discussion, c'est plus civique :)
</cadre>

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtris par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à sa juste valeur les hormones de bien-être sécrétées par une digestion bien mérité :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

{{Copy|Avril 2006|Glandos|FDL}}

== Conclusion ==

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

Point d'accès sécurisé par hostAPd

2006-04-28T13:30:52Z

Glandos : /* Première validation du point d'accès */

{{ en construction }}
<cadre type=alert>Voilà, à part les TODO, je crois que j'ai fini. Merci de ne pas hésiter à me relire, me corriger. Pour les petites fautes (frappe, orthographe, faites-le directement en indiquant la modification dans le résumé en bas. Sinon, merci de d'abord passer par la page de discussion, c'est plus civique :)
</cadre>

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtris par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à sa juste valeur les hormones de bien-être sécrétées par une digestion bien mérité :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-04-28T13:29:41Z

Glandos : /* Activation */

{{ en construction }}
<cadre type=alert>Voilà, à part les TODO, je crois que j'ai fini. Merci de ne pas hésiter à me relire, me corriger. Pour les petites fautes (frappe, orthographe, faites-le directement en indiquant la modification dans le résumé en bas. Sinon, merci de d'abord passer par la page de discussion, c'est plus civique :)
</cadre>

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtris par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à sa juste valeur les hormones de bien-être sécrétées par une digestion bien mérité :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-04-28T13:26:18Z

Glandos : /* Prérequis */

{{ en construction }}
<cadre type=alert>Voilà, à part les TODO, je crois que j'ai fini. Merci de ne pas hésiter à me relire, me corriger. Pour les petites fautes (frappe, orthographe, faites-le directement en indiquant la modification dans le résumé en bas. Sinon, merci de d'abord passer par la page de discussion, c'est plus civique :)
</cadre>

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-04-28T13:25:59Z

Glandos : /* Prérequis */

{{ en construction }}
<cadre type=alert>Voilà, à part les TODO, je crois que j'ai fini. Merci de ne pas hésiter à me relire, me corriger. Pour les petites fautes (frappe, orthographe, faites-le directement en indiquant la modification dans le résumé en bas. Sinon, merci de d'abord passer par la page de discussion, c'est plus civique :)
</cadre>

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invité à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-04-28T13:22:29Z

Glandos :

{{ en construction }}
<cadre type=alert>Voilà, à part les TODO, je crois que j'ai fini. Merci de ne pas hésiter à me relire, me corriger. Pour les petites fautes (frappe, orthographe, faites-le directement en indiquant la modification dans le résumé en bas. Sinon, merci de d'abord passer par la page de discussion, c'est plus civique :)
</cadre>

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-04-28T13:19:59Z

Glandos :

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

{{Copy|Avril 2006|Glandos|FDL}}

Point d'accès sécurisé par hostAPd

2006-04-28T13:17:45Z

Glandos : /* Présentation */

Point d'accès sécurisé par hostAPd

2006-04-28T13:12:16Z

Glandos : /* ... comme sous Windows */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

Point d'accès sécurisé par hostAPd

2006-04-28T13:07:36Z

Glandos : /* Sous Ubuntu ... */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

=== Pistes en cas de problèmes ===
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==

Point d'accès sécurisé par hostAPd

2006-04-28T12:59:08Z

Glandos :

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

== ... comme sous Windows ==

Point d'accès sécurisé par hostAPd

2006-04-28T12:57:24Z

Glandos : /* Sous Ubuntu ... */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

=== Configuration des interfaces ===
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key ""
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

=== Installation et utilisation de wpasupplicant ===
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="Clé"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

== ... comme sous Windows ==

Point d'accès sécurisé par hostAPd

2006-04-27T21:14:36Z

Glandos : /* Sous Ubuntu ... */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key ""
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

== ... comme sous Windows ==

Point d'accès sécurisé par hostAPd

2006-04-27T20:57:26Z

Glandos :

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==

== ... comme sous Windows ==

Point d'accès sécurisé par hostAPd

2006-04-27T20:39:03Z

Glandos : /* Configuration de hostAPd */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :) À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>
Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

Point d'accès sécurisé par hostAPd

2006-04-27T20:30:31Z

Glandos : /* Installation */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :
apt-get install hostapd
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :
apt-get remove hostapd
Et normalement les fichier de configuration sont restés là :) À savoir :
/etc/default/hostapd Permet d'activer ou de désactiver le lancement automatique de hostAPd
/etc/hostapd/hostapd.conf Fichier de configuration de hostAPd
/etc/init.d/hostapd Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :
DAEMON=/usr/sbin/hostapd
Chez moi, c'est la douzième. Remplacez la par :
DAEMON=/usr/local/bin/hostapd

Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :
RUN_DAEMON=yes

Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

Point d'accès sécurisé par hostAPd

2006-04-27T20:29:28Z

Glandos : /* Activation */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload
</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start
</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz
</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :
apt-get install hostapd
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :
apt-get remove hostapd
Et normalement les fichier de configuration sont restés là :) À savoir :
/etc/default/hostapd Permet d'activer ou de désactiver le lancement automatique de hostAPd
/etc/hostapd/hostapd.conf Fichier de configuration de hostAPd
/etc/init.d/hostapd Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :
DAEMON=/usr/sbin/hostapd
Chez moi, c'est la douzième. Remplacez la par :
DAEMON=/usr/local/bin/hostapd

Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :
RUN_DAEMON=yes

Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

Point d'accès sécurisé par hostAPd

2006-04-27T20:28:46Z

Glandos : /* Installation */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz
</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :
apt-get install hostapd
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :
apt-get remove hostapd
Et normalement les fichier de configuration sont restés là :) À savoir :
/etc/default/hostapd Permet d'activer ou de désactiver le lancement automatique de hostAPd
/etc/hostapd/hostapd.conf Fichier de configuration de hostAPd
/etc/init.d/hostapd Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :
DAEMON=/usr/sbin/hostapd
Chez moi, c'est la douzième. Remplacez la par :
DAEMON=/usr/local/bin/hostapd

Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :
RUN_DAEMON=yes

Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

Point d'accès sécurisé par hostAPd

2006-04-27T20:28:08Z

Glandos : /* Installation */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255


La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz
</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :
apt-get install hostapd
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :
apt-get remove hostapd
Et normalement les fichier de configuration sont restés là :) À savoir :
/etc/default/hostapd Permet d'activer ou de désactiver le lancement automatique de hostAPd
/etc/hostapd/hostapd.conf Fichier de configuration de hostAPd
/etc/init.d/hostapd Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :
DAEMON=/usr/sbin/hostapd
Chez moi, c'est la douzième. Remplacez la par :
DAEMON=/usr/local/bin/hostapd

Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :
RUN_DAEMON=yes

Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

Point d'accès sécurisé par hostAPd

2006-04-27T20:26:41Z

Glandos : /* Installation */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255


La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz
</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :
apt-get install hostapd
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :
apt-get remove hostapd
Et normalement les fichier de configuration sont restés là :) À savoir :
/etc/default/hostapd Permet d'activer ou de désactiver le lancement automatique de hostAPd
/etc/hostapd/hostapd.conf Fichier de configuration de hostAPd
/etc/init.d/hostapd Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :
DAEMON=/usr/sbin/hostapd
Chez moi, c'est la douzième. Remplacez la par :
DAEMON=/usr/local/bin/hostapd

Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :
RUN_DAEMON=yes

Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

Point d'accès sécurisé par hostAPd

2006-04-27T20:25:25Z

Glandos : /* Première validation du point d'accès */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz
</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :
apt-get install hostapd
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :
apt-get remove hostapd
Et normalement les fichier de configuration sont restés là :) À savoir :
/etc/default/hostapd Permet d'activer ou de désactiver le lancement automatique de hostAPd
/etc/hostapd/hostapd.conf Fichier de configuration de hostAPd
/etc/init.d/hostapd Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :
DAEMON=/usr/sbin/hostapd
Chez moi, c'est la douzième. Remplacez la par :
DAEMON=/usr/local/bin/hostapd

Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :
RUN_DAEMON=yes

Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

Point d'accès sécurisé par hostAPd

2006-04-27T20:19:05Z

Glandos : /* Présentation de hostAPd */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz
</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :
apt-get install hostapd
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :
apt-get remove hostapd
Et normalement les fichier de configuration sont restés là :) À savoir :
/etc/default/hostapd Permet d'activer ou de désactiver le lancement automatique de hostAPd
/etc/hostapd/hostapd.conf Fichier de configuration de hostAPd
/etc/init.d/hostapd Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :
DAEMON=/usr/sbin/hostapd
Chez moi, c'est la douzième. Remplacez la par :
DAEMON=/usr/local/bin/hostapd

Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :
RUN_DAEMON=yes

Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :
/etc/init.d/hostapd start
devrait donner un résultat positif. Faites ensuite
/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf
Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

Point d'accès sécurisé par hostAPd

2006-04-27T20:17:18Z

Glandos : /* Présentation de hostAPd */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

[[Utilisateur:Fred|Fred]]> en fait tant que la page n'est pas modérée par un admin du site : elle n'apparaitra pas autrement qu'avec la version 'initiale'.

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [[http://hostap.epitest.fi/hostapd/|cette page]]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz
</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :
apt-get install hostapd
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :
apt-get remove hostapd
Et normalement les fichier de configuration sont restés là :) À savoir :
/etc/default/hostapd Permet d'activer ou de désactiver le lancement automatique de hostAPd
/etc/hostapd/hostapd.conf Fichier de configuration de hostAPd
/etc/init.d/hostapd Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :
DAEMON=/usr/sbin/hostapd
Chez moi, c'est la douzième. Remplacez la par :
DAEMON=/usr/local/bin/hostapd

Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :
RUN_DAEMON=yes

Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :
/etc/init.d/hostapd start
devrait donner un résultat positif. Faites ensuite
/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf
Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.

Discussion utilisateur:Glandos

2006-04-27T20:12:51Z

Glandos :

[[Utilisateur:Fred|Fred]]> je viens de te donner les droits "editeur" sur Le site : tu peux donc accéder à la partie "non modéré" de Léa via la petite icône "clé anglaise" en haut à droite des pages du site.

Ah merci beaucoup pour ta réactivité :) --[[Utilisateur:Glandos|Glandos]] 27 avr 2006 à 22:12 (CEST)

Discussion:Proposition d'article

2006-04-27T16:56:36Z

Glandos : /* Problème de màj */

Salut! Je ne comprend pas comment on poste un nouvel article.

----

# tu édites la page '''Proposition d'article''' et dans la section idoïne tu ajoutes un trucs style :
#: <nowiki>[[titre de mon nouvel article]]</nowiki> qui donnera dans cette page le lien : [[titre de mon nouvel article]]
# sauve la page '''Proposition d'article''' ainsi modifiée
# clique sur le lien qui correspond alors à ton nouvel article
# édite ton article à ta guise (si tu as besoin d'uploader des images ou des fichiers demande nous les droits nécessaires).

----

Merci. Encore une autre question. Je suis en train de rédiger cet article: http://lea-linux.org/cached/index/OpenMosix_sous_Slackware_%28applicable_aux_autres_distributions_Linux%29.html#
et rien ne s'affiche. Pourtant quand j'édite le tuto, je revois ce que j'ai tapé.
J'ai aussi un problème avec les retours à la ligne.

== J'ai fait un article sur la compilation distribuée, mais j'ai l'impression qu'il est perdu! ==

je ne le retrouve que dans "modifications récentes"... :((

== le pingouin casse les fenêtres ==

Salut (à tous)

Nous venons d'enregistrer notre premier album rock sous le nom de SOLID STATE.
Pas grand-chose à voir avec Linux me direz-vous ? Pas si sur...
Les plaisanteries d'un des musiciens linuxien qui a apprécié à leur juste valeur
les nombreux plantages O.S. nous ont inspiré une
de nos compos :

« Do U C Me »

Petit clin d'oeil aux travers des yeux d'un utilisateur qui subit.

C'est le même musicien « encore lui » qui nous a proposé la diffusion gratuite
du titre à la communauté Linux. Car au final c'est à cause ou grâce à elle que
ce titre et né, alors, pourquoi pas, après tout, dans un monde où tout a un
prix, un peu d'utopie ne fait jamais de mal.

Ainsi avons-nous donc décidé de le laisser libre d'ecoute ici :
http://www.solidstategang.com/linux.htm

Bonne écoute et amusez-vous bien en souhaitant que ce petit écart à une
mécanique industrielle bien rodée aujourd'hui vous procure du plaisir et vous
fasse sourire.

Promis : le prochain album, on l'enregistre sur un autre O.S. ;-)

Solid State

== Problème de màj ==

Effectivement, je suis en train de construire un article et le comportement est ultra bizarre.
Quand je fais une modif, il me ramène sur la page de base, mais je ne vois que l'ancien contenu. Par contre, si je reclique sur modifier, pouf, le contenu est bien celui que j'ai modifié... Comprends pas. Vais essayer de bourriner le cache de Firefox pour voir :)

[[Utilisateur:Fred|Fred]]> déjà expliqué : ça vient du dispositif de modération "a priori" des articles : seule la première version d'une page peut apparaître avant modération par un admin.

Ah ok merci de me le répéter alors :) L'ennui, c'est que faire un formatage Wiki, c'est assez long, et vu la longueur de ce que j'écris, je n'ai pas tout mis la première fois. M'enfin, je comprends l'intérêt de cette modération, peut-être devrait-elle être mise plus en avant.

Discussion:Proposition d'article

2006-04-26T21:36:22Z

Glandos : Problème de màj

Point d'accès sécurisé par hostAPd

2006-04-26T21:33:45Z

Glandos : /* Installation */

= AVERTISSEMENT =
Cet article est en cours d'écriture/mise en page. Tant que cette avertissement n'a pas disparu, merci de NE PAS éditer cette page vous-même. Veuillez utiliser le lien "Page de discussion" pour soumettre vos idées. Merci par avance :) --[[Utilisateur:Glandos|Glandos]] 26 avr 2006 à 22:38 (CEST)

= Introduction =
Ce n'est pas vraiment un tutorial, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriaux. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utile.

= Présentation =
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilés avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne chercher pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking/force-reload</code>

Soit :<code>/etc/init.d/networking/stop && /etc/init.d/networking/start</code>

Soit carrément un bon vieux reboot :
reboot
Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/|cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Là, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd sont présents mais pas compilés avec les bonnes options pour madwifi, et les sources sont celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz
</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. Je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :
apt-get install hostapd
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :
apt-get remove hostapd
Et normalement les fichier de configuration sont restés là :) À savoir :
/etc/default/hostapd Permet d'activer ou de désactiver le lancement automatique de hostAPd
/etc/hostapd/hostapd.conf Fichier de configuration de hostAPd
/etc/init.d/hostapd Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.
On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :
DAEMON=/usr/sbin/hostapd
Chez moi, c'est la douzième. Remplacez la par :
DAEMON=/usr/local/bin/hostapd

Ensuite, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une demande d'accès et pourra alors, sur cette seule adresse, soit continuer le processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :
RUN_DAEMON=yes

Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :
/etc/init.d/hostapd start
devrait donner un résultat positif. Faites ensuite
/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf
Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente.