Différences

Ci-dessous, les différences entre deux révisions de la page.

--- grau:start [2015/04/20 18:41] – [Dépend] sdufour
+++ grau:start [Date inconnue] (Version actuelle) – supprimée - modification externe (Date inconnue) 127.0.0.1
@@ Ligne 1: / Ligne 1: @@
-===== Projet de Wifi sur le Grau du roi =====
-Note: xiu et Lord ont le contact là bas, leur demander si besoin
-==== Référent ====
-Stéphan Dufour
-Pour tout renseignement, utilisez la rubrique Contact du site.
-==== But ====
-  - Proposer des connexions Internet via des points d'accès wifi sur divers immeubles du Grau du roi (immeubles locatifs saisonniers)
-  - Faire évoluer l'offre vers des offres bars en Wifi
-==== Les Phases ====
-Pas de deadline
-Le projet a 3 phases:
-  - Maquette
-  - Béta testeur
-  - Standard
-Nous sommes aujourd'hui dans la phase maquette.
-==== Dépend ====
-La phase maquette dépend de la mise en place d'un accès VPN et d'une VM ou d'un service radius.
-N'hésitez pas à commenter sans vous autocensurer, je ferai une mise au propre après discussion.
-\\ Le plus important c'est d'essayer de voir ce que l'on peut oublier.
-\\ Un conseil ne commentez pas tout de suite, lisez en entier dans un premier temps, puis revenez sur les questions qui vous parlent.
-A) Le besoin:
-Plusieurs bâtiments typologie: 4 à 5 étages, 4 appartements par étage -> soit environ 20 appartements de vacanciers par site.
-\\ NB: il faudra que le mécanisme d'authentification soit en accord avec la facturation réelle qui en est faite: je veux dire par là qu'il ne faut pas que le vacancier suivant puisse simplement utiliser les identifiants du précédent.
-\\ Pour les accès permanents (mutualisation d'accès Internet) on peut utiliser des comptes Radius, pour les accès temporaires on peut utiliser des vouchers sur des portails captifs (propriétaires ou open source).
-  - Quelle règle de dimensionnement ? Spyou parle de 60/70 M pour 110 liens actifs: Hypothèse: en moyenne 640 kbit/s par appartement.
-  - Suivant les résultats d'éligibilité pour un site, il faudra un ou plusieurs liens par site. A priori le site moyen fera 1 ou 2 liens ADSL (640 kbit * 20 =  ~ 13 Mbit/s/site). Il peut y avoir des problèmes de saturation sur la tête de ligne (la tdl c'est le point d'accès FT dans le bâtiment, il est en général dimensionné à la création du bâtiment pour supporter autant de lignes qu'il y a d'appartements + qqs unes). A voir lors du déploiement.
-  - Phase ultérieure: trouver un/des uplinks à gros débits (vdsl/fibre)
-{{ :grau:schema_generique.jpg?nolink |}}
-B) Aspects légaux:
-\\ Il faut :
-  - S'assurer que le chiffrement est solide: WPA/WPA2, TKIP/AES, WPA-PSK.
-  - Choisir le mécanisme d'authentification. Portail Captif, EAP-TLS, EAP-TTLS/MSCHAPv2, PEAPv0/EAP-MSCHAPv2, PEAPv1/EAP-GTC.
-  - Pouvoir identifier les utilisateurs derrières les IPs publiques si demande par la police/gendarmerie en cas d'affaire de pédophilie ou de demande HADOPI. Cf (Archi partie accès)
-  - Une charte d'utilisation pour les locataires. Quelqu'un a la charte d'usage Wifi de sa boîte ou de sa fac ?
-C) L'architecture accès sur site:
-\\ Prévoir une multi-prise parafoudre
-  - un ou plusieurs liens ADSL
-  - si plusieurs liens un mécanisme de répartition de charge. En démarrage, une répartition par IP de radius. Pour des évolutions, on peut envisager une solution PfSense.
-  - Comment assurer le lien entre l'identité IP Publique / appartement:
-    - Faire du NAT IPv4 et loguer les iptables après traitement par script. Pour: Économe en IP / Contre: Empêche les connexions entrantes/ Gourmand en espace disque.
-    - On met une IP publique V4 par appartement et on fait du NAT sur un modem/routeur dans l'appartement. Pour: on sait facilement relier l'IP publique à l'appartement et donc au locataire/ Contre: on ne sait gérer en standard l'ouverture des ports entrants.
-    - Demander un gros pool d'IPv4 publique: Pour: simple, Contre: très gourmand car il faudrait une IP pour chaque PC, tablette, smartphone... On risque de se faire jeter par le LIR (délégataire du RIPE).
-    - Demander un gros pool d'IPv6: Pour: mise en Œuvre simple / Contre: quelqu'un a des expériences avec du V6 ? Risque d'incompatibilité avec de vieux OS / applis non compliants ?
-    - D'autres solutions ?
-  - Mécanisme(s) d'authentification
-  - Choix des équipements (à faire dans un deuxième temps si on a avancé sur l'archi)
-{{ :grau:acces_simplifie-2.jpg?nolink |}}
-{{ :grau:acces_pfsense.jpg?nolink |}}
-En fait sur Unify, on peut mixer des accès authentification Radius et des tickets d'authentification payants.
-\\ Pour le mécanisme de partage de charge en IPv6 voir ici [[https://doc.pfsense.org/index.php/Multi-WAN_for_IPv6|Multilink Ntp en IPv6]]
-\\ Notre faible pool d'adresse IPv4 risque de nous obliger à faire des expérimentations en IPv6.
-D) L'architecture Wifi:
-  - Choix des équipements ( un AP sous openwrt ? un AP + un routeur ? … )
-    - Ubiquity UAP Indoor (PoE 12-24V ~ 10€) 69$
-    - Ubiquity UniFi AP Outdoor (2.4 ou 5 Ghz, PoE 48V ~20€) 135$
-E) La supervision:
-  - Zabbix (on a un déjà un serveur opérationel).
-  - Des liens multiopérateurs (autre option Accès de secours par ligne RTC).
-  - Avoir un adhérent sur le Grau serait idéal.
-F) Un outil de gestion de tickets ?
-  - Pas nécessaire pour le démarrage mais à étudier.
-G) La mise en place
-  - Monter la partie serveur (serveur radius + 1 DHCP par bâtiment + serveur VPN)
-  - Monter une partie client (portail captif, client vpn)
-  - Installation des équipements dans les bâtiments (percements tirages de câbles).
-H) La recette
-  - Commencer par un proof of concept sur une borne sur le Logement de Fabrice
-  - Béta-test
-I) La maintenance: contrat de maintenance
-  - Établir un "business model"
-J) Déployer sur tout le Grau \o/
-==== Permettra de ====
-  * Proposer du vrai Internet sur le Grau du roi au plus grand nombre
-  * Faire connaitre Iloth
-==== Pad ====
-http://pad.iloth.net/p/wifi_Grau-du-Roi