Outils pour utilisateurs

Outils du site


archives:grau:start

Projet de Wifi sur le Grau du roi

Note: xiu et Lord ont le contact là bas, leur demander si besoin

Référent

Stéphan Dufour

Pour tout renseignement, utilisez la rubrique Contact du site.

But

  1. Proposer des connexions Internet via des points d'accès wifi sur divers immeubles du Grau du roi (immeubles locatifs saisonniers)
  2. Faire évoluer l'offre vers des offres bars en Wifi

Les Phases

Pas de deadline

Le projet a 3 phases:

  1. Maquette
  2. Béta testeur
  3. Standard

Nous sommes aujourd'hui dans la phase maquette.

Dépend

La phase maquette dépend de la mise en place d'un accès VPN et d'une VM ou d'un service radius.

N'hésitez pas à commenter sans vous autocensurer, je ferai une mise au propre après discussion.
Le plus important c'est d'essayer de voir ce que l'on peut oublier.
Un conseil ne commentez pas tout de suite, lisez en entier dans un premier temps, puis revenez sur les questions qui vous parlent.

A) Le besoin: Plusieurs bâtiments typologie: 4 à 5 étages, 4 appartements par étage → soit environ 20 appartements de vacanciers par site.
NB: il faudra que le mécanisme d'authentification soit en accord avec la facturation réelle qui en est faite: je veux dire par là qu'il ne faut pas que le vacancier suivant puisse simplement utiliser les identifiants du précédent.
Pour les accès permanents (mutualisation d'accès Internet) on peut utiliser des comptes Radius, pour les accès temporaires on peut utiliser des vouchers sur des portails captifs (propriétaires ou open source).

  1. Quelle règle de dimensionnement ? Spyou parle de 60/70 M pour 110 liens actifs: Hypothèse: en moyenne 640 kbit/s par appartement.
  2. Suivant les résultats d'éligibilité pour un site, il faudra un ou plusieurs liens par site. A priori le site moyen fera 1 ou 2 liens ADSL (640 kbit * 20 = ~ 13 Mbit/s/site). Il peut y avoir des problèmes de saturation sur la tête de ligne (la tdl c'est le point d'accès FT dans le bâtiment, il est en général dimensionné à la création du bâtiment pour supporter autant de lignes qu'il y a d'appartements + qqs unes). A voir lors du déploiement.
  3. Phase ultérieure: trouver un/des uplinks à gros débits (vdsl/fibre)

B) Aspects légaux:
Il faut :

  1. S'assurer que le chiffrement est solide: WPA/WPA2, TKIP/AES, WPA-PSK.
  2. Choisir le mécanisme d'authentification. Portail Captif, EAP-TLS, EAP-TTLS/MSCHAPv2, PEAPv0/EAP-MSCHAPv2, PEAPv1/EAP-GTC.
  3. Pouvoir identifier les utilisateurs derrières les IPs publiques si demande par la police/gendarmerie en cas d'affaire de pédophilie ou de demande HADOPI. Cf (Archi partie accès)
  4. Une charte d'utilisation pour les locataires. Quelqu'un a la charte d'usage Wifi de sa boîte ou de sa fac ?

C) L'architecture accès sur site:
Prévoir une multi-prise parafoudre

  1. un ou plusieurs liens ADSL
  2. si plusieurs liens un mécanisme de répartition de charge. En démarrage, une répartition par IP de radius. Pour des évolutions, on peut envisager une solution PfSense.
  3. Comment assurer le lien entre l'identité IP Publique / appartement:
    1. Faire du NAT IPv4 et loguer les iptables après traitement par script. Pour: Économe en IP / Contre: Empêche les connexions entrantes/ Gourmand en espace disque.
    2. On met une IP publique V4 par appartement et on fait du NAT sur un modem/routeur dans l'appartement. Pour: on sait facilement relier l'IP publique à l'appartement et donc au locataire/ Contre: on ne sait gérer en standard l'ouverture des ports entrants.
    3. Demander un gros pool d'IPv4 publique: Pour: simple, Contre: très gourmand car il faudrait une IP pour chaque PC, tablette, smartphone… On risque de se faire jeter par le LIR (délégataire du RIPE).
    4. Demander un gros pool d'IPv6: Pour: mise en Œuvre simple / Contre: quelqu'un a des expériences avec du V6 ? Risque d'incompatibilité avec de vieux OS / applis non compliants ?
    5. D'autres solutions ?
  4. Mécanisme(s) d'authentification
  5. Choix des équipements (à faire dans un deuxième temps si on a avancé sur l'archi)

En fait sur Unify, on peut mixer des accès authentification Radius et des tickets d'authentification payants.
Pour le mécanisme de partage de charge en IPv6 voir ici Multilink Ntp en IPv6


Notre faible pool d'adresse IPv4 risque de nous obliger à faire des expérimentations en IPv6.

D) L'architecture Wifi:

  1. Choix des équipements ( un AP sous openwrt ? un AP + un routeur ? … )
    1. Ubiquity UAP Indoor (PoE 12-24V ~ 10€) 69$
    2. Ubiquity UniFi AP Outdoor (2.4 ou 5 Ghz, PoE 48V ~20€) 135$

E) La supervision:

  1. Zabbix (on a un déjà un serveur opérationel).
  2. Des liens multiopérateurs (autre option Accès de secours par ligne RTC).
  3. Avoir un adhérent sur le Grau serait idéal.

F) Un outil de gestion de tickets ?

  1. Pas nécessaire pour le démarrage mais à étudier.

G) La mise en place

  1. Monter la partie serveur (serveur radius + 1 DHCP par bâtiment + serveur VPN)
  2. Monter une partie client (portail captif, client vpn)
  3. Installation des équipements dans les bâtiments (percements tirages de câbles).

H) La recette

  1. Commencer par un proof of concept sur une borne sur le Logement de Fabrice
  2. Béta-test

I) La maintenance: contrat de maintenance

  1. Établir un “business model”

J) Déployer sur tout le Grau \o/

Permettra de

  • Proposer du vrai Internet sur le Grau du roi au plus grand nombre
  • Faire connaitre Iloth

Pad

archives/grau/start.txt · Dernière modification: 2015/04/20 18:41 (modification externe)