13 juin 2015

DD-WRT - SSID Multiples et isolés

/!\ Attention, cet article s'adresse à des personnes un minimum averties dans le domaine de l'informatique et des réseaux. Si vous cassez tout, ce n'est pas de ma faute. Bisous. /!\

Précédemment nous avons vu comment paramétrer un routeur équipé de DD-WRT (à savoir un TP-Link TL-WR841ND) derrière un Livebox. Dans mon cas l'usage de DD-WRT s'imposait par un besoin principal :
  • Avoir du WiFi plusieurs SSID isolés les un des autres, dont découle :
    • Limiter les appareils connectés dessus via un filtrage MAC
    • Mettre ces SSID dans un réseau isolé
    • Limiter les flux (prochain article sur le sujet)
Note : d'un routeur à l'autre les termes peuvent changer, notamment ath0 qui devient wlan0 pour le WiFi. 
Pourquoi avoir besoin de plusieurs SSID isolés ? J'ai parfois des gens qui se connectent de façon temporaire sur mon WiFi avec mon accord, notamment une voisine. Je suis peut-être un peu parano mais je n'ai pas envie  qu'ainsi on puisse se promener tranquillement sur mon réseau. J'ai un peu toute ma vie sur mon PC et j’admets que les partages en sont pas paramétrés au mieux, avec en plus un mot de passe faible sur mon Windows.

Paramétrer un SSID virtuel

Direction l'onglet Wireless et Basic Settings. Sous le WiFi ath0 qu'il est déjà paramétré il y a la section Virtual Interfaces. Cliquer sur le bouton Add et magie, un nouvel SSID ath0.1 demande à être configuré. Comme suit dans mon cas :
  • Wireless mode : AP
  • Wireless Network Name : Caca-Dans-Les-Bois Ce que vous voulez
  • Wireless SSID Broadcast : Enable On diffuse le SSID
Sous Advanced Settings :
  • AP Isolation : On Pour éviter que les périphériques connectés ne parlent entre eux.
  • Network Configuration : Unbridged Pas de pont avec le reste du réseau.
  • IP Address : 192.168.2.1 Ce sera le réseau pour ce point d'accès
  • Subnet Mask : 255.255.255.0
Parce qu'on est pas des chiens, on va un minimum sécuriser ce point d'accès. Toujours sous Wireless, allez dans Wireless Security. Sous Virtual Interfaces ath0.1 SSIS [Caca-Dans-Les-Bois] HWAddr [TONADRESSEMACLOL] choisissez le mode de sécurité, la clef et oualou !

Limiter les appareils connectés via filtrage MAC

Toujours sous Wireless, allez dans MAC Filter. Sous ath0.1 passez Use Filter à Enable et Filter Mode à Permit only clients listed to accesss the wireless network (autorisez seulement les clients listez à se connecter au réseau sans fil, bilingue si si t'as vu).

Dans Edit MAC Filter List entrez les adresses MAC des périphériques autorisés à se connecter à l'interface ath0.1. Sur mon TL-WR841ND le fait de valider les adresses MAC fait planter l'interface web du routeur et oblige à un redémarrage de l'engin. Malgré tout les adresses MAC sont bien enregistrées. Je vais mettre ça sur le compte de la version beta...

Séparer les réseaux

A la base je pensais utiliser des VLANs. Sauf que non en fait. Pour l'instant DD-WRT ne prends pas en charge les VLAN sur le chipset Qualcomm Atheros QCA9533 du TL-WR841ND . Le menu est accessible via l'adresse http://ip_du_routeur/Vlan.asp mais je n'ai pas vraiment envie de jouer avec du coup... On va se rattraper en faisant du pontage ! Comme chez le cardiologue. Des bridges quoi. Comme chez le dentiste.

Donc, dans Setup puis Networking catégorie Bridging nous allons cliquer sur Add. Dans le champ name entrez br1 et appliquez les paramètres. En retournant de nouveau le pont nouvellement créée il sera possible de lui rentrer une IP. Ici je vais procéder comme suit :
J'ai pas d'idée de légende alors du coup discutons ! Vous allez bien ?

192.168.2.254, toujours sur un réseau en /24, est l'IP qui servira de passerelle au point d'accès ath0.1 (le deuxième SSID donc).

Juste en dessous, dans Assign to Bridge, cliquez sur Add. On va associer le pont br1 à l'interface ath0.1.
Moi ça va pas mal, je viens de passer la journée à installer un Mac.

Toujours plus bas rendez-vous dans DHCPD, Multiple DHCP Server. Cliquez sur Add. Sélectionnez l'interface ath0.1 qui va commencer à 100 et distribuer 10 IP.
Et puis il y a eu une grosse pluie d'orage. J'aime bien les pluies d'orange.
Reprenons !
On applique et on se rend dans l'onglet Services, Services (non je ne radote pas) puis DNSMasq. Dans DNSMasq Options on va ajouter les lignes suivantes :
# Active le DHCP sur br1
interface=br1
# Assigne la passerelle aux clients de br1
dhcp-option=br1,3,192.168.2.254
# Plage DHCP pour 4 pour les clients de br1 de 5 à 15.
dhcp-range=br1,192.168.2.5,192.168.2.15,255.255.255.0,24h

Appliquez.

Au passage, si vous ne connaissez pas DNSMasq penchez vous dessus, ça vaut le coup. C'est un peu de la balle. 

Testage

On se connecte au WiFi après avoir préalablement rentré l'adresse MAC de l'interface dans le routeur et on lance la série ipconfig, ping, tracert :
Ipconfig, t'as vu !
Tracert, si si !
Prochain article, on va jouer aux Chinois en paramétrant un peu de bridage !
Références : How to geek - How to enable a guest access point on your wireless network

Nota : Je me suis rendu compte après la rédaction de cet article que l'interface pouvait être paramétrée en français. Toutes mes excuses, mais j'ai la flemme de tout réécrire. 
Publié par à
Libellés :

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)