Projet Wifi

Lycée Marie Curie Tarbes,
Etude d’une solution Wifi.
Rapport de stage pour la Licence Professionnelle Informatique

Répartie et Mobile de La Rochelle.
Implantation d’un réseau wifi pour le Lycée Marie Curie à Tarbes
Flandrois Rémi.
01/06/2008
Lycée Marie Curie Tarbes, Etude d’une solution Wifi. 2008
Sommaire
I] Préambule.............................................................................................................. Erreur ! Signet non défini.
II] Le lycée Marie Curie. ............................................................................................ Erreur ! Signet non défini.
A) Généralités..................................................................................................... Erreur ! Signet non défini.
B) Point de vue Humain et Organisationnel....................................................... Erreur ! Signet non défini.
C) Point de vue économique. ............................................................................. Erreur ! Signet non défini.
D) Point de vue juridique.................................................................................... Erreur ! Signet non défini.
III] Etude de l’existant. .............................................................................................. Erreur ! Signet non défini.
A) Câblage et matériels. ..................................................................................... Erreur ! Signet non défini.
B) Serveurs et applications................................................................................. Erreur ! Signet non défini.
1.) Schéma du réseau. ................................................................................. Erreur ! Signet non défini.
2.) Les serveurs du réseau. .......................................................................... Erreur ! Signet non défini.
a.) Le réseau Administratif........................................................................... Erreur ! Signet non défini.
b.) Le réseau Pédagogique........................................................................... Erreur ! Signet non défini.
1.) Le serveur SLIS. ....................................................................................... Erreur ! Signet non défini.
2.) Le serveur Magret................................................................................... Erreur ! Signet non défini.
3.) Le serveur de sauvegarde....................................................................... Erreur ! Signet non défini.
4.) Les machines clientes. ............................................................................ Erreur ! Signet non défini.
c.) La DMZ.................................................................................................... Erreur ! Signet non défini.
d.) La ZMI. .................................................................................................... Erreur ! Signet non défini.
e.) Les Firewalls............................................................................................ Erreur ! Signet non défini.
IV] Cahier des charges............................................................................................... Erreur ! Signet non défini.
A) But du Projet. ................................................................................................. Erreur ! Signet non défini.
B) Aspect Juridique............................................................................................. Erreur ! Signet non défini.
1.) Le cadre réglementaire actuel d’exploitation des réseaux WiFi............ Erreur ! Signet non défini.
a.) Utilisation à l'intérieur des bâtiments. ................................................... Erreur ! Signet non défini.
b.) Utilisation à l'extérieur des bâtiments. .................................................. Erreur ! Signet non défini.
c.) Les nouvelles règles adoptées pour l’expérimentation des réseaux locaux radioélectriques
(RLAN) ouverts au public. .................................................................................. Erreur ! Signet non défini.
d.) Les enjeux juridiques du Wifi.................................................................. Erreur ! Signet non défini.
C) Aspect Humain............................................................................................... Erreur ! Signet non défini.
D) Aspect technique. .......................................................................................... Erreur ! Signet non défini.
2
E) Aspect Financier............................................................................................. Erreur ! Signet non défini.

V] Etude des solutions existantes. ............................................................................ Erreur ! Signet non défini.
A) Les bornes WiFi.............................................................................................. Erreur ! Signet non défini.
1.) Comparatif des bornes existantes.......................................................... Erreur ! Signet non défini.
a.) Entrée de gamme. .................................................................................. Erreur ! Signet non défini.
b.) Milieu de gamme.................................................................................... Erreur ! Signet non défini.
c.) Haut de gamme. ..................................................................................... Erreur ! Signet non défini.
d.) Résumé et comparatif des bornes.......................................................... Erreur ! Signet non défini.
B) Le Portail captif. ............................................................................................. Erreur ! Signet non défini.
1.) Qu’est ce qu’un portail captif ? .............................................................. Erreur ! Signet non défini.
2.) Fonctionnement d’un portail captif. ...................................................... Erreur ! Signet non défini.
3.) Etude des différents Portails Captifs. ..................................................... Erreur ! Signet non défini.
VI] Choix et solutions adoptés. ................................................................................. Erreur ! Signet non défini.
A) Aspect Humain et Organisationnel................................................................ Erreur ! Signet non défini.
B) Aspect Financier............................................................................................. Erreur ! Signet non défini.
C) Aspect Technique....................................................................................................................................4
VII] Installation du serveur PfSense. ..................................................................................................................6
A) Installation de PfSense............................................................................................................................6
B) Configuration de PfSense......................................................................................................................14
1.) Configuration de l’interface LAN. ..................................................................................................14
2.) Pré configuration de PfSense. .......................................................................................................15
3.) Configuration de PfSense par l’interface graphique. ....................................................................18
4.) Configuration des interfaces. ........................................................................................................21
5.) Configuration du service de Portail Captif. ...................................................................................21
6.) Configuration du DNS forwarder...................................................................................................24
7.) Sauvegarde de la configuration.....................................................................................................24
C) Installation du serveur Radius. .............................................................................................................25
VIII] Création des VLans. ..................................................................................................................................35
IX] Configuration des bornes. ..........................................................................................................................42
X] Configuration du SLIS...................................................................................................................................44
XI] Déploiement des Bornes. ...........................................................................................................................48
Conclusion........................................................................................................................................................49
Annexes............................................................................................................................................................50
3
A) Schéma Réseau de Marie Curie. ...........................................................................................................50

B) Création d’une page de connexion personnalisée. ..............................................................................51
C) Ajout d’une page de connexion personnalisée. ...................................................................................52
D) Devis de la société IDG..........................................................................................................................53
1.) Devis bornes D-Link. ......................................................................................................................53
2.) Devis Bornes TP-Link......................................................................................................................54
E) Documentation des Vlan pour les Switch HP Pro Curve 2500..............................................................54
Bibliographie. ...................................................................................................................................................56
A) Aspect Technique.
Au vu des divers comparatifs, la solution d’un portail de type PfSense semble être la plus performante
et évolutive. Elle répond également aux critères de sécurité dont nous avons besoin (sécurité de
l’authentification et de la communication).
De plus pour des besoins de sécurité et des raisons techniques nous créerons un Vlan. En effet le
serveur PfSense intègre un serveur DHCP pour attribuer des adresses IP à chacun des clients. Lors de
l’utilisation du logiciel Norton Ghost (qui permet le clonage et la réinstallation d’image système), les
responsables informatiques démarrent un serveur DHCP pour permettre à la machine l’acquisition d’une
adresse (il est impossible d’en mettre une manuellement) et ainsi chercher l’image système à travers le
réseau. Si le DHCP de PfSense se trouve sur le même réseau que le DHCP nécessaire a Norton Ghost alors
un conflit entre les deux est assuré. C’est pourquoi il a été décidé de mettre en place un Vlan pour le
réseau Wifi. Nous aurons donc l’architecture suivante :
4
Le serveur PfSense sera lié avec un serveur Radius que l’on créera sur le serveur Active Directory du
lycée. Cela permettra une gestion centralisée des comptes utilisateurs. Il prendra en compte le SLIS pour
des raisons de sécurité.
Pour la réalisation de ce projet nous installerons le portail captif sur une machine relativement
ancienne. Cependant PfSense requière une petite configuration (un PC avec 500Mo de disque dur, 64Mo
de RAM (128 Mo conseillé), PII 266 MHz minimum, au moins 2 cartes réseaux (on peut également en
mettre plus si l'on désir créer des DMZ)). En effet après plusieurs tests sur des machines plus récentes nous
avons dû nous rabattre sur un Pentium 3 à 700Mghz, avec une barrette de 256mo de Ram et une autre de
128mo de Ram en PC133. Le disque dur quant à lui, est de 40Go. Cette machine possède deux cartes
réseau supportant le Gbit/s. Un des défauts de PfSense est sa compatibilité avec les dernières puces
sorties. Ainsi les autres machines disponibles avaient toutes des chipsets de la marque nVidia et des
disques durs en SATA ce qui rendait l’installation impossible car ces derniers n’étaient pas détectés.
Il faudra prévoir lors de l’installation des bornes à bien définir les canaux utilisés par ces dernières.
En effet, ayant une borne à chaque étage les signaux pourraient se croiser et se perturber entre eux.
5
VII] Installation du serveur PfSense.
A) Installation de PfSense.
Comme de nombreuses distributions Unix ou Linux, PfSense offre la possibilité de se lancer en Live
CD ou d’être installé sur un disque dur. Cette première option permet d’utiliser le système d’exploitation
directement à partir du CD. Bien que pratique pour des phases de test ou de découverte, cette utilisation
ne permet pas d’installer de package, de sauvegarder des configurations de façon durable et possède des
lenteurs au niveau des chargements.
Dans notre cas, le serveur étant destiné à fonctionner 24h sur 24, nous installerons PfSense sur le
disque dur.
La première chose à vérifier c’est que la machine bootera d’abord sur le lecteur CD pour pouvoir
lancer PfSense en live CD. Au démarrage apparaît alors un menu qui nous propose diverses options, nous
choisirons de démarrer PfSense en tapant 1.
6
La distribution se charge en mémoire, puis lance ses divers composants. Elle nous demande de
configurer les interfaces réseaux. La première question concerne les Vlans. Nous refuserons de les
configurer maintenant (cela se fera par l’interface graphique).
PfSense nous demande ensuite de configurer les interfaces réseaux, il nous suffit d’indiquer que
l’interface LAN est « rl0 » et que l’interface WAN est « rl1 ». Le coté LAN correspondra à l’interface du
réseau Wifi, WAN fait référence au réseau du lycée. Nous avons en suite un récapitulatif des interfaces
qu’il faudra valider en tapant « y ».
7
PfSense se charge et nous donne l’accès à un nouveau menu où nous ferons le choix « 99 », c'est-à-
dire l’installation sur le disque dur du portail captif.
L’installation se lance et nous propose de configurer des options vidéo ou de clavier si cela est
nécessaire. Une fois ces réglages effectués nous choisirons « accept these setting » pour continuer.
Puis nous sélectionnerons « Install PfSense ».
8
La distribution nous demandera de choisir le disque dur, n’en ayant qu’un nous nous contenterons
de valider ce choix.
Nous formaterons ce disque pour que le système d’exploitation possède le bon format de fichier en
validant « Format this Disk ».
Le menu suivant nous proposera de changer la géométrie du disque dur. Cette étape n'est en
principe pas nécessaire. En effet, PfSense reconnaît quasiment tous les disques durs existants. A ne
changer donc uniquement que si le disque est trop récent et donc pas reconnu. Nous irons par conséquent
directement à « Use this geometry ».
9
Un message d’alerte apparaîtra pour nous avertir que le formatage nous fera perdre toutes nos
données. Nous validerons cette action avec « Format ad0 »
10
PfSense proposera de créer une partition sur le disque dur. Nous validerons « Partion Disk » car
aucune installation de PfSense n’a été effectuée et aucune partition n’existe.
Le menu de partitionnement nous permettra de redimensionner le disque pour installer PfSense. Ici
nous prendrons tout l’espace disque disponible pour créer notre partition. Pour valider nous irons sur
« Accept and Create ».
Une fenêtre d’avertissement s’affichera et nous validerons avec « Yes partition ad0 ». Un message
nous avertira que la partition a bien été créée.
11
Le menu suivant nous proposera d’installer PfSense sur la partition de notre choix, nous choisirons
notre disque dur.
Le programme d'installation formatera la partition sur laquelle nous souhaitons mettre PfSense.
Nous validerons.
12
Un message nous avertira que la partition a été formatée.
L’étape suivante consiste à définir la swap et le point de montage. La swap est un espace mémoire
du disque dur réservé pour des opérations d’échange. C’est la mémoire virtuelle qui est utilisée de la
même manière que la mémoire RAM. Nous mettrons 1024M à disposition de cette mémoire. Le point de
montage lui correspond à la racine du système d’exploitation. Nous mettrons « * » pour qu’il prenne le
reste du disque dur. Pour valider ces choix nous ferons « Accept and Create ».
PfSense début alors son installation.
Afin de mieux configurer le noyau de type BSD, l’installeur nous demande de spécifier quel type de
processeur sera utilisé sur cette machine. Au vu de la configuration de notre machine, nous choisirons
« Uniprocessor kernel ». Ce type de demande montre bien à quel point la distribution est faite pour
s’adapter au mieux aux performances de la machine et ainsi être la plus proche du matériel possible.
13
Nous allons maintenant installer le bootloader de PfSense sur le disque dur. Ce dernier permettra
de démarrer sur la partition du portail captif. Pour ce faire nous sélectionnerons « Accept and install
BootBlocks ». Un message nous avertira que BootBlocks a bien été installé.
Après l’installation nous pourrons enlever le CD du lecteur et redémarrer en validant « Reboot ».
B) Configuration de PfSense.
1.) Configuration de l’interface LAN.
14
Une fois PfSense redémarré nous arrivons sur le menu de configuration où plusieurs choix nous
sont offerts. La première chose à faire est de configurer correctement l’interface réseau qui se trouve du
coté LAN, c'est-à-dire du coté du réseau WiFi. Pour cela nous ferons le choix 2 « Set LAN IP address ».
Nous entrerons alors l’adresse IP « 192.168.77.252 », puis le masque en notation CIDR soit « 24 ».
PfSense nous demandera par la même occasion de paramétrer un serveur DHCP sur cette interface.
Nous accepterons en tapant « y », puis donnerons l’adresse de début (192.168.77.10) et de fin
(192.168.77.254) de la plage DHCP. Un message nous avertira que tout est bien configuré et que nous
pouvons accéder à l’interface graphique en interrogeant l’adresse http://192.168.77.252 dans notre
navigateur web.
2.) Pré configuration de PfSense.
Pour accéder à l’interface graphique nous connecterons un ordinateur client directement sur
l’interface LAN du portail Captif. Nous ouvrirons un navigateur et taperons l’adresse
http://192.168.77.252. Une fenêtre s’ouvrira alors et nous pourrons nous authentifier avec le login
« admin » et avec le mot de passe « pfsense ». Une fois cette opération effectuée nous arrivons sur une
page avec un message d’accueil, nous cliquerons sur le bouton « next ».
15
L’écran suivant nous permettra de faire entrer le serveur sur le domaine du lycée. Nous indiquerons
le nom du serveur, le nom du domaine D-CURIE, et l’adresse IP du serveur DNS ici 10.255.5.61. Puis nous
passerons à l’étape suivante.
Ici nous configurerons la « time Zone » dans laquelle se trouve le serveur, nous laisserons les
réglages par défaut.
L’écran suivant nous permettra de configurer l’interface WAN, c'est-à-dire celle du côté du réseau
du lycée. Le type sera Static et nous lui donnerons l’adresse IP « 10.255.5.206 » et on indiquera la
passerelle « 10.255.5.60 ». Cette dernière est en fait le serveur SLIS qui permet le filtrage des contenus
venant d’internet.
16
Puis nous configurerons l’interface LAN (coté réseau WiFi), ici les champs sont déjà renseignés et il
nous suffira de les valider.
PfSense nous demandera de changer le mot de passe administrateur du serveur pour des raisons de
sécurité. Nous mettrons celui utilisé pour tous les serveurs et le compte administrateur du lycée.
Enfin, le portail captif nous demandera de redémarrer l’interface graphique en pressant le bouton
Reload, pour prendre en compte les modifications et nous reconnecter avec le nouveau mot de passe.
17
Le serveur se met alors à redémarrer.
La pré-configuration est alors terminée, nous accédons à l’interface de configuration.
3.) Configuration de PfSense par l’interface graphique.
La première chose que nous allons faire est de changer l’apparence de cette interface. Pour ce faire
nous irons sur l’onglet Système puis Général Setup. Nous changerons l’interface dans la rubrique thème
pour « pfsense ». La nouvelle interface est plus pratique car nous accéderons aux diverses rubriques sans
avoir à passer par des menus déroulants.
Dans ce même menu général se trouve la configuration générale du portail captif. Nous y
retrouvons des éléments déjà configurés comme le DNS ou le nom de la machine. Nous vérifierons que
18
l’option « Allow DNS server list to be overridden by DHCP/PPP on WAN » est bien cochée. Cette dernière
permettra de trouver le serveur DNS et d’en faire le relais sur l’interface WAN.
Nous pourrons également redéfinir le login et le mot de passe de l’administrateur mais surtout
d’activer la connexion sécurisée à cette interface. Pour cela nous irons à la ligne « WebGUI Protocole » et
nous cliquerons sur HTTPS, le port à indiquer est le 443. Une fois ceci effectué nous cliquerons sur « Save »
en bas de la page et relancerons l’interface graphique avec l’adresse https:\\192.168.77.252.
La connexion sera alors sécurisée par le protocole SSL.
Nous irons ensuite dans la section System/Advanced pour sécuriser au maximum le serveur.
Ici, nous pouvons activer la connexion SSH afin de l'administrer à distance sans passer par
l'interface graphique (en effet, pour une configuration accrus, il vaut mieux passer par le Shell).
Ensuite nous irons a la ligne « webGUI SSL certificate/key », puis nous cliquerons sur « create » pour
générer automatique un certificat au format X509 et une clef RSA.
19
Une fenêtre s’ouvrira et nous rentrerons les informations demandées. Ces éléments serviront à la
création du certificat.
Une fois le certificat et la clé créés nous validerons en cliquant sur Save.
Le certificat étant auto-signé, le navigateur web donnera alors la possibilité à l’utilisateur de

l’examiner. Cela permet ainsi d’éviter que des bornes pirates soient installées et proposent des connexions
afin de récupérer des données. La clé RSA sert à chiffrer les échanges lors de la connexion du client au
serveur.
De cette manière l’authentification est sécurisée et la connexion au serveur aussi.
20
4.) Configuration des interfaces.
Nous allons à présent configurer les interfaces réseau. Tout d’abord nous irons dans
Interfaces/Assign pour paramétrer les VLAN. Puis dans L’onglet VLAN nous ajouterons une règle pour
l’interface LAN en mettant le VLAN Tag a 60. Cela permettra, lorsque les Vlan seront mis en place, de
tagger les trames et de permettre au switch de reconnaitre quelles trames appartiennent au réseau WiFi et
quelles sont celles du réseau normal. En effet les bornes seront branchées au réseau filaire et les interfaces
LAN et WAN également. Il faudra alors dissocier ce qui doit appartenir à l’une ou à l’autre. De plus ce VLAN
permettra l’isolation du DHCP de PfSense par apport au reste du réseau. Ainsi seuls les clients des bornes
auront le DHCP.
Ensuite nous irons dans Interfaces/LAN. (Les paramètres de l’interface WAN seront les mêmes que
lors de pré-configuration, il n’est alors pas nécessaire de la configurer).
Ici la seule chose à vérifier est que l’interface ne soit pas bridgée avec le WAN, cela empêche le
portail de fonctionner.
5.) Configuration du service de Portail Captif.
Pour paramétrer le service de portail captif nous irons dans Services/Captive Portal.
21
Ici nous définirons sur quelle interface agira le portail Captif, nous mettrons donc LAN. Puis nous
donnerons un délai de connexion au-delà duquel l’utilisateur devra se réauthentifier à la ligne « Hard Time
Out ». La majorité des cours étant divisée en heures il paraît logique que celui-ci soit mis à 60 minutes.
Nous allons maintenant indiquer à la ligne Authentification quel sera le mode d’authentification à la
connexion. Nous choisirons Radius et indiquerons l’IP du serveur où sera installé le service Radius, en outre
le serveur Active Directory du lycée en 10.255.5.61. Nous spécifierons le port ainsi que le secret partagé
entre le serveur PfSense et le Radius.
22
PfSense offre la possibilité d’installer un serveur radius par l’acquisition de paquet. Cependant cette
méthode présente deux inconvénients :
• Il faudra recréer les comptes sur le serveur PfSense ou les importer.

• Les options de gestion des utilisateurs se réduisent au strict minimum.
Enfin pour terminer nous allons configurer l’authentification sécurisée pour les clients. Pour cela
nous cocherons la case « Enable HTTPS login », nous indiquerons le serveur PfSense comme étant le
serveur HTTPS, enfin nous collerons le certificat et la clé RSA créée précédemment.
23
Le client pourra ainsi valider le certificat à sa connexion et bénéficiera d’une authentification

cryptée. Cela évitera le vol de login et de mot de passe.
6.) Configuration du DNS forwarder.
Pour terminer nous irons dans Services/DNS forwarder. Cette option permet de relayer les
paramètres DNS du portail captif et de les appliquer dans le cadre du DHCP. Ainsi lorsque le DHCP est
configuré il n’est pas nécessaire d’indiquer quel DNS contacter. Si l’option DNS forewarder est activée le
DHCP prendra par défaut le serveur DNS indiqué dans les paramètres de configuration générale du portail
captif.
Ici on veillera juste à ce que l’option « enable DNS forwarder » soit cochée.
7.) Sauvegarde de la configuration.
Pour pouvoir sauvegarder toutes les configurations effectuées ci-dessus nous irons dans la rubrique
Diagnostics : Backup/Restore, puis sur l’onglet Backup/restore et nous cliquerons sur Download
24
Configuration. Cela nous proposera de télécharger un fichier XML contenant tous les paramètres du
serveur y compris les informations nécessaires pour la restauration des packets installés.
C) Installation du serveur Radius.
Pour pouvoir utiliser notre portail captif de manière efficace, nous allons créer un serveur Radius et
ainsi permettre l’authentification des utilisateurs avec les comptes déjà créés dans l’Active Directory (AD).
25
Ainsi nous nous connecterons à distance au serveur AD avec l’utilitaire de Windows « connexion au bureau
à distance ». Pour le lancer nous ferons démarrer, exécuter puis nous taperons « mstsc », cela lancera
l’assistant. Nous renseignerons l’IP du serveur (10.255.5.61) le login le mot de passe et le domaine (D-
CURIE). Puis nous cliquerons sur connexion.
Une fois sur connecté sur le bureau du serveur nous irons dans Démarrer / Panneau de
configuration / Ajout/Suppression de programmes / Ajouter ou supprimer des composants Windows /
Services de mises en réseau et nous cocherons la case « Service d’authentification Internet » puis nous
cliquerons sur OK pour que l’installation se fasse avec les paramètres par défaut.
La seconde étape consiste à renseigner le serveur PfSense dans le DNS du serveur Radius. En effet
lorsque PfSense utilise un serveur Radius externe ce dernier devient le serveur DNS de PfSense. Nous
cliquerons donc sur Démarrer / tous les programmes / outils d’administration puis DNS. Dans cette console
nous ferons un clic droit sur le dossier représentant le domaine D-CURIE, puis nous créerons un nouvel
hôte (A). Nous donnerons alors un nom à cet hôte (ici pfsense), nous renseignerons le FQDN (Full Qualified
Domain Name c'est-à-dire le nom de la machine + le nom de domaine) du serveur PfSense et enfin nous
indiquerons son adresse IP (10.255.5.206). Ainsi enregistré dans le DNS le serveur PfSense est entièrement
intégré au domaine.
26
La prochaine étape consiste à ajouter un client RADIUS. Il s’agit en outre du Serveur PfSense. Ici le
but consiste à ce que le serveur PfSense interroge le service RADIUS pour disposer de la base des
utilisateurs AD. Nous irons donc dans Démarrer / tous les programmes / outils d’administration et Service
d’authentification Internet. Nous commencerons par inscrire le serveur RADIUS dans Active directory pour
que ceux-ci soient liés. Nous ferons donc clic droit sur « service d’authentification Internet » puis « Inscrire
le serveur dans Active Directory ».
27
Dans la console IAS (Internet Authentification Service) nous cliquerons droit sur « Client Radius »
puis « ajouter un client Radius ».
Nous renseignerons alors le nom du serveur PfSense (pfsense) et son adresse IP (10.255.5.206) puis
nous cliquerons sur suivant.
28
Pour terminer l’ajout il nous suffira d’indiquer le secret partagé qui est le même que lors de la
configuration de PfSense. Ainsi nous choisirons Client-Fournisseur : RADIUS Standard puis nous mettrons
« pfsense » en secret partagé.
Il faut maintenant paramétrer les stratégies propres au serveur PfSense. Pour cela dans la console
IAS nous cliquerons droit sur stratégie d’accès distant puis nous choisirons « Nouvelle stratégie d’accès
distant.
29
Dans l’assistant de création nous choisirons « installer une stratégie personnalisée » et nous
donnerons un nom à cette dernière.
A l’écran suivant nous cliquerons sur le bouton ajouter puis sélectionnerons « NAS Identifier ». Dans
la boite de dialogue qui s’ouvrira nous taperons le FQDN du serveur PfSense (pfsense.d-curie). Nas
30
Identifier sert principalement à indiquer la machine qui reçoit la demande d’authentification du client WiFi
(ici la machine Pfsense, NAS=Network Access Identifier).
Le second attribut à ajouter à la stratégie est NAS-Port-Type qui sert à préciser le type de connexion
employé pour la communication entre le serveur Radius et le client Radius.
Nous sélectionnerons donc « Ethernet » dans les différents types de connections.
31
Le dernier attribut à sélectionner est « windows group » il servira à déterminer quel groupe
d’utilisateur sera autorisé à utiliser le service Radius.
Dans la fenêtre « Groupes », nous cliquerons ajouter puis nous indiquerons « utilisateur du
domaine » dans le nom du groupe. Ainsi tous les utilisateurs de D-CURIE seront autorisés à utiliser RADIUS.
32
Une fois les attributs sélectionnés nous cliquerons sur suivant. Ici nous autoriserons l’accès distant
puis nous ferons « Suivant ».
33
A cet écran nous cliquerons sur modifier le profil pour effectuer un réglage en ce qui concerne
l’authentification. Dans l’onglet « authentification on choisira » « authentification non cryptée (PAP,
SPAP) ». En effet les échanges sur le réseau filaire entre le serveur PfSense et le Radius bénéficieront des
protocoles PAP et SPAP.
Une fois tout ceci effectué, nous cliquerons sur suivant pour terminer l’installation. Nous
retournerons alors dans la console de configuration d’IAS puis nous ferons monter la stratégie créée pour
quelle soit effective.
Nous pourrons vérifier dans ses propriétés que l’accès distant est autorisé. Si cela n’était pas le cas
le serveur RADIUS ne pourrait pas accepter les demandes d’authentification provenant du serveur PfSense.
34
VIII] Création des VLans.
35
Pour pouvoir isoler notre réseau WiFi du reste de l’établissement nous allons procéder à la création
de VLAN. En effet, cette solution empêchera la diffusion du DHCP du serveur PfSense sur le même réseau
que celui du DHCP utilisé pour le ghost des machines. Pour pouvoir atteindre le Switch à configurer nous
utiliserons le logiciel Putty permettant la connexion en SSH et en Telnet. Nous irons donc dans login et
nous utiliserons l’IP 10.255.5.53 sur le port 22 pour pouvoir nous connecter en SSH au serveur possédant
les deux cartes réseaux.
Une fois connecté nous entrerons le login et mot de passe administrateur.
Puis nous lancerons la connexion Telnet sur l’IP 172.16.10.24 pour pouvoir nous connecter à la tête
de pile voulue, ici celle des Switch du troisième étage du bâtiment technique.
Nous arrivons alors à l’écran d’accueil du Switch HP, nous entrerons le login et mot de passe
administrateur.
36
Il nous est proposé alors de choisir quel Switch de la pile nous voulons configurer. Dans la colonne
« Status », l’attribut « Commander » désigne la tête de pile. L’attribut « member » désigne les Switch de la
pile. « Up » fait référence à l’activité du commutateur. Ici nous pouvons voir qu’ils sont tous fonctionnels.
Nous choisirons le Switch en saisissant le numéro indiqué dans la colonne SN. A ce stade, nous choisirons 0
pour pouvoir créer le Vlan dans la tête de pile.
Puis pour accéder au menu de configuration nous taperons la commande « menu ».
Nous arrivons alors au menu général. Pour configurer les Switch nous taperons 2 et accéderons
ainsi au sous-menu « Switch Configuration ».
37
Nous entrerons dans le menu Vlan en tapant 8. Ce menu gère la création et la configuration des Vlan.
Puis nous irons dans « Vlan Names » pour créer et paramétrer le nouveau Vlan.
38
A cet écran nous taperons « A » pour accéder au menu de création.
C’est dans ce nouveau menu que nous allons véritablement créer le Vlan. Deux choses nous sont
demandées, la première concerne le protocole 802.1Q. Ce dernier sert lors de l’encapsulation des trames
passant par le Switch, un numéro identifiant le Vlan est alors ajouté à la trame, on dit que la trame est
39
Taggée. Le Switch peut ainsi déterminer si une trame a le droit d’emprunter telle ou telle route. Ici nous
mettrons 60 car c’est le numéro que nous avons indiqué lors de la configuration de l’interface qui gère le
réseau WiFi sur le serveur PfSense (voir page 50). Enfin nous indiquerons le nom de ce Vlan qui servira à
l’identifier dans les menus de configuration des Switch.
Une fois le Vlan créé nous retournerons dans le menu de configuration des Vlan et nous choisirons
d’entrer dans « Vlan Port assignement ». Nous choisirons alors d’éditer le tableau en tapant « E ». Nous
descendrons jusqu’au port servant à faire le lien avec les autres Switch, pour chaque Switch du lycée, ce
40
sont les ports 25 et 26 qui servent de lien. Pour ces deux ports à la colonne WiFi (notre Vlan) nous
sélectionnerons l’option « Tagged ». Celle-ci indique au Switch que ces deux ports font partie de plusieurs
Vlan à la fois. Ces ports laissent donc passer les trames de n’importe quel Vlan vers le Switch suivant. Cette
opération devra être répétée sur chaque Switch de la pile.
Il ne nous reste plus qu’à configurer le Vlan sur le Switch où se trouve le port que l’on veut faire
entrer dans le réseau virtuel. On se connectera donc au Switch puis nous irons directement dans le menu
d’édition des ports. Nous choisirons notre port, ici le 23, puis nous le sortirons de son Vlan (ici nous le
sortons du Vlan pédagogique) en remplaçant l’option Untagged par l’option « NO ». Une fois ceci fait le
port n’appartient plus à aucun Vlan.
Nous irons ensuite dans la colonne WiFi et nous remplacerons « NO » par « Untagged ». L’option
« Untagged » indique au Switch que le port fait partie d’un seul et unique Vlan. Les autres colonnes étant
sur « NO » seules les trames à destination du Vlan WiFi seront acceptées sur ce port.
41
Nous répéterons cette opération sur les autres ports nécessitant d’être brassés sur le Vlan WIFI. De plus le
serveur PfSense sera installé dans la salle serveur il faudra donc créer le VLAN sur le Switch central.
IX] Configuration des bornes.
42
La configuration des bornes est la chose la plus simple à faire. En effet nous n’aurons qu’à nous
connecter à l’interface web de configuration de la borne. Sur une borne neuve il nous suffira de nous
connecter à l’adresse http://192.168.0.50. Puis nous entrerons le login et le mot de passe par défaut
(login : admin, mot de passe : admin).
Au menu de configuration nous irons dans « Wireless ». Ici nous pourrons définir les options liées à
l’émission du signal WiFi. Nous mettrons la borne en mode «Open Système » et sans authentification WEP.
Nous nommerons le SSID, de la borne WIFI_LMC, toutes les bornes auront le même SSID cela permettra de
ne voir qu’un seul identifiant de borne et non pas une multitude de point d’accès.
Enfin nous pourrons spécifier le canal d’émission de la borne. En effet pour la bonne cohabitation
des bornes, nous devrons utiliser des canaux non superposés. Ainsi dans le bâtiment technique nous
repartirons les canaux de la façon suivante :
Etage Canal
Sous sol 1
1er étage 5
2eme étage 9
3eme étage 13
Nous irons ensuite dans la rubrique « LAN ». Ici nous indiquerons l’adresse IP de la borne
(192.168.77.10), son masque, et la passerelle qui se trouve être le serveur PfSense (192.168.77.252).
43
Pour terminer, nous ouvrirons l’onglet « Tools » puis nous changerons le mot de passe
administrateur pour des raisons de sécurité.
X] Configuration du SLIS.
Pour pouvoir laisser passer certains protocoles comme le HTTPS, nous allons devoir configurer le
SLIS. En effet le Serveur Linux pour l’Intranet Scolaire bloque ces protocoles lorsqu’il est mis au niveau de
44
sécurité 3. Pour abaisser ce niveau nous allons nous connecter à l’interface web à l’adresse
http://slismcurie.ac-toulouse.fr.
Ce site permet d’accéder aux diverses fonctions du serveur intranet notamment d’administrer sa
fonction proxy/firewall. Pour cela nous cliquerons sur Administrer dans la colonne de droite puis nous
donnerons notre identifiant et mot de passe.
Nous arrivons à l’écran de gestion et cliquerons sur administration proxy SLIS. Puis nous
accepterons les certificats et rentrerons notre login et mot de passe.
45
Puis nous cliquerons sur Sécurité (filtrage IP).
46
Ensuite nous choisirons de paramétrer le Proxy de l’intérieur vers l’extérieur.
47
Une fois arrivé à notre nouveau menu, nous abaisserons alors le niveau de sécurité au niveau 2. Le
SLIS laissera passer le protocole HTTPS ce qui est indispensable lors d’une connexion à un compte webmail
(Gmail par exemple). L’abaissement de ce niveau de sécurité ne remet absolument pas en cause les règles
concernant les messenger et autres logiciels de discussion interdit au sein du lycée.
XI] Déploiement des Bornes.
Le déploiement des bornes se fera en plusieurs étapes. Tout d’abord le réseau WiFi sera déployé au sein du
bâtiment technique au mois de juillet. En effet, ce mois étant celui des vacances scolaires, les utilisateurs
ne seront en rien gênés en cas de mauvaises manipulations sur le réseau. Pour ce bâtiment, les points
d’accès seront placés dans les armoires de brassages situées dans les couloirs. Ces dernières sont fermées
à clé et ne peuvent être ouvertes que par l’équipe informatique. Les étudiants pourront bénéficier du
réseau sans fil dès la rentrée 2008. Dès lors, il sera possible à l’équipe TICE de vérifier la stabilité et la
sécurité des équipements.
Au mois de Novembre 2008, si aucun souci n’a été détecté, les autres bornes seront placées au sein du
lycée.
48
Conclusion.
La mise en place de cette solution WiFi ne s’est pas faite sans embuche. En effet pour pouvoir
réaliser ce projet de bout en bout, nous avons dû faire preuve d’un auto-apprentissage acharné en ce qui
concerne le monde UNIX/FreeBSD, la gestion de pile de switch et la création de VLAN. Malgré tout, nous
avons réussi à mettre en place un réseau sans fil sécurisé et parfaitement intégré au domaine du lycée
Marie Curie. De plus cette implantation n’a pas interrompue la continuité de service du réseau de
l’établissement.
Nous devons également souligner que l’évolution technologique que représentent le WiFi et son
installation de façon sécurisée, peut se faire de manière économique. Ainsi, même les structures avec un
budget réduit peuvent évoluer. Cela a été rendu possible grâce à la distribution libre PfSense, ce type de
logiciel représente un certain avenir de l’informatique car il présente plusieurs avantage, le premier étant
la gratuité et le second une communauté ouverte et serviable quant aux questions de l’utilisateur.
Un autre aspect de ce projet fut le facteur humain. Si la réalisation technique est intéressante, il
faut garder à l’esprit que notre travail est avant tout un service rendu à des personnes tiers. Il nous a fallu
composer avec divers intervenants et prendre en compte la population utilisatrice de ce nouveau réseau.
Nous mettrons l’accent sur les possibilités d’évolution de cette solution. Avec l’apparition de
nouvelles normes telles que la 802.11n notre réseau WiFi devra évoluer dans les 5 prochaines années. Il
est intéressant de souligner l’indépendance des points d’accès et du serveur. En effet les bornes peuvent
être changées sans avoir aucune intervention à effectuer sur le serveur. De plus ce dernier pourra changer
matériellement en cas d’une demande accrue, le fichier de sauvegarde de la configuration de PfSense
n’aura qu’à être chargé dans la nouvelle machine.
Pour terminer nous pouvons dire que les objectifs visés ont été atteints, car nous avons un portail
captif parfaitement fonctionnel et une solution réalisée à moindre coût.
49
Annexes.
A) Schéma Réseau de Marie Curie.
50
B) Création d’une page de connexion personnalisée.
Dans un but de confort nous allons maintenant personnaliser la page d’authentification du portail captif.
Pour cela nous créerons une page HTML avec le code suivant.
<html>
<body>
<style type="text/css">

</style><form method="post" action="../$PORTAL_ACTION$"> //les actions sont renvoyées à la fonction
PORTAL_ACTION
<table width="200" border="0" align="center"> //Création du tableau contenant les éléments de la page
<tr>
<td><img src="captiveportal-body_bg.png" width="88" height="480" /></td> //Insertion de l’image dans la case
n°1 du tableau
<td><p><img src="captiveportal-Image1.jpg" width="782" height="182" /> //Insertion de l’image dans la case
n°2 du tableau
</p>
<p> </p>
<p> </p>
<table width="407" border="3" align="center" bordercolor="#000000" bgcolor="#FFFF99"> //Création d’une
case qui contiendra le texte explicatif de connexion
<tr bordercolor="#FFCC33">
<td width="407" height="119"><div align="center">
<p>Pour vous connecter au reseau WiFi du lycée Marie Curie Tarbes il vous suffira de saisir votre
Identifiant et votre Mot De Passe ci-dessous.</p>
<p>Les sites visités sont soumis a la charte informatique du lycée.</p>
</div></td>
</tr>
</table>
<p> </p>
<p> </p>
<table width="200" border="0" align="center"> //Création du tableau contenant les champs d’indentification.
<tr>
<td><div align="center">Identifiant:</div></td>
</tr>
<tr>
<td align="center"><input name="auth_user" type="text" /></td> // Champ du login qui renvoie l’identifiant
sous la forme d’une chaine de caractère
</tr>
<tr>
<td><div align="center">Mot de passe:</div></td>
</tr>
<tr>
<td align="center"><input name="auth_pass" type="password" /></td> // Champ du mot de passe
</tr>
<tr>
<td align="center"><input name="accept" type="submit" value="Continue" /></td> //Bouton de validation
51
des informations de connexion saisie

</tr>
</table>
<p> </p></td>
<td><img src="captiveportal-body_bg.png" width="88" height="480" /></td> //Insertion de l’image dans la case
n°3 du tableau
</tr>
</table>
<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$"> //Redirection vers la page de l’utilisateur
</form>
</body>
</html>
C) Ajout d’une page de connexion personnalisée.
Pour pouvoir ajouter sa page personnalisée au portail captif nous irons dans l’interface de configuration de
PfSense dans « services » et « captive portal ». A la ligne « Portal page contents » nous ajouterons la page
HTML que nous avons programmée.
Puis dans « services », « captive portal » nous cliquerons sur l’onglet « File Manager » pour pouvoir
ajouter les images liées à notre page d’authentification. Notre nouvelle interface de connexion est
maintenant fonctionnelle.
52
D) Devis de la société IDG.
1.) Devis bornes D-Link.
53
2.) Devis Bornes TP-Link.
E) Documentation des Vlan pour les Switch HP Pro Curve 2500.
54
Gestion des switchs
Remarque: La gestion des switch se faisait à partir d’un poste où les paramètres tcp/ip sont :
IP : 172.16.0.106
Masque : 255.255.0.0
Maintenant, avec la mise en service d'un serveur de gestion des switchs
• Faire Putty 10.255.5.53 en SSH (port 22) (on prend la main sur le serveur -qui a deux cartes réseau, l'une en 10, l'autre
en 172).
• On prend la main sur le switch en faisant : Exécuter--->cmd--->Telnet+IP du switch. (172.16.10.X) X est le numéro
dans la pile (on ne peut atteindre que la "tête" de pile)
• Faire menu 2-8-3 Untagged ----> signifie que le port est sur un unique réseau
Tagged ----> signifie que le port est sur plusieurs réseaux
Salle des serveurs
1 : switch central avec 4 blocs de réseau A-B-C-D
• A: fibre optique
• B:
• c:
• D:
2 : switch pédagoque
switchs AIDAT HP2626 :
• port 1 : Management
• port 2-5 : DSL
• port 6-8 : ZMI
• port 9-11 : DMZ - n'existe que sur ce switch -
• port 12-24 : Pedagogique
Numéro dans la pile (définition du X)

BATIMENT GENERAL BATIMENT TECHNIQUE AUTRES BATIMENTS
3 : pour la tête de la pile des 6 switchs du 15 : pour le switch du sous-sol 32 : internat
1er étage ( puis 4, 5, 6, 7, 8) 16 : pour le switch rez-de-chaussée 33 : réfectoire
17 : pour le switch 1er étage 34 : gymnase
9 : pour la tête de la pile des 7 switchs du 18-19 : pour les switchs du bts info
3eme étage (puis 10 à 15) (2eme étage), (ils les managent)
23 : pour la tête de pile des 4 autres
switchs du second étage (puis 22-21-20)
24 : pour la tête de pile de pile des 7
switchs du 3eme (puis 25 à 30)
exemple:
salle 103 : pile 3, (172.16.10.3) switch 3, port 16
remarque :
• prise A1-24I correspond au port 7 switchs 2 zone peda pour maintenance en 172
55
• prise A1-21T correspond port D20 switch 1 zone peda pour maintenance autre carte en 10
• prise A1-22T correspond port D16 switchs 1 zone DSL
• prise A1-22I port D15 switchs 1 zone peda
Bibliographie.
Web :
http://astralprojection1.free.fr/ Projet tuteuré de l’IUT de Blagnac concernant l’installation du serveur
PfSense.
http://www.supinfo-projects.com/fr/2006/portailcaptifwifi Comparatif des différents portails captifs.
http://www.droit-ntic.com/news/afficher.php?id=202 Information sur les mesures légales du wifi.
http://www.commentcamarche.net/wifi/wifimodes.php3#adhoc Documentation générale sur le wifi.
http://lpirmlr.free.fr/wiki_wifi_blanquefort/ Documentation et recherche sur l’implantation de réseaux

Wifi
http://doc.pfsense.org/ Documentation sur PfSense.
http://forum.pfsense.org/ Forum Communautaire de PfSense.
irc://irc.freenod.net/pfsense Channel IRC de PfSense.
http://www.scribd.com/ Site de documentation gratuite, notamment informatique (documentation sur

FreeBSD)
http://tice.ac-toulouse.fr/ Site des équipes Tice de l’académie de Toulouse, documentation sur les serveurs
SLIS, MAGRET et les diverses architectures réseaux officielles
Livres :
Programme_marie_curie.pdf Rapport concernant la restructuration du lycée Marie Curie.
Magret_Console.pdf Documentation sur MAGRET
HP Pro Curve 2500 series Handbook : Livre sur la configuration des Switch HP
56

Projet Wifi

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Projet Wifi

Uploaded by

Copyright:

Available Formats

Lycée Marie Curie Tarbes,

Etude d’une solution Wifi.

Rapport de stage pour la Licence Professionnelle Informatique

E) Aspect Financier............................................................................................. Erreur ! Signet non défini.

A) Schéma Réseau de Marie Curie. ...........................................................................................................50

VII] Installation du serveur PfSense.

Puis nous sélectionnerons « Install PfSense ».

Un message nous avertira que la partition a été formatée.

PfSense début alors son installation.

Après l’installation nous pourrons enlever le CD du lecteur et redémarrer en validant « Reboot ».

1.) Configuration de l’interface LAN.

2.) Pré configuration de PfSense.

Le serveur se met alors à redémarrer.

La pré-configuration est alors terminée, nous accédons à l’interface de configuration.

3.) Configuration de PfSense par l’interface graphique.

La connexion sera alors sécurisée par le protocole SSL.

Le certificat étant auto-signé, le navigateur web donnera alors la possibilité à l’utilisateur de

De cette manière l’authentification est sécurisée et la connexion au serveur aussi.

4.) Configuration des interfaces.

5.) Configuration du service de Portail Captif.

• Il faudra recréer les comptes sur le serveur PfSense ou les importer.

Le client pourra ainsi valider le certificat à sa connexion et bénéficiera d’une authentification

6.) Configuration du DNS forwarder.

7.) Sauvegarde de la configuration.

C) Installation du serveur Radius.

Nous sélectionnerons donc « Ethernet » dans les différents types de connections.

VIII] Création des VLans.

Une fois connecté nous entrerons le login et mot de passe administrateur.

Puis pour accéder au menu de configuration nous taperons la commande « menu ».

A cet écran nous taperons « A » pour accéder au menu de création.

IX] Configuration des bornes.

Puis nous cliquerons sur Sécurité (filtrage IP).

Ensuite nous choisirons de paramétrer le Proxy de l’intérieur vers l’extérieur.

XI] Déploiement des Bornes.

A) Schéma Réseau de Marie Curie.

B) Création d’une page de connexion personnalisée.

des informations de connexion saisie

C) Ajout d’une page de connexion personnalisée.

D) Devis de la société IDG.

1.) Devis bornes D-Link.

2.) Devis Bornes TP-Link.

E) Documentation des Vlan pour les Switch HP Pro Curve 2500.

Gestion des switchs

Maintenant, avec la mise en service d'un serveur de gestion des switchs

Salle des serveurs

1 : switch central avec 4 blocs de réseau A-B-C-D

switchs AIDAT HP2626 :

Numéro dans la pile (définition du X)

salle 103 : pile 3, (172.16.10.3) switch 3, port 16

http://www.supinfo-projects.com/fr/2006/portailcaptifwifi Comparatif des différents portails captifs.

http://www.droit-ntic.com/news/afficher.php?id=202 Information sur les mesures légales du wifi.

http://www.commentcamarche.net/wifi/wifimodes.php3#adhoc Documentation générale sur le wifi.

http://lpirmlr.free.fr/wiki_wifi_blanquefort/ Documentation et recherche sur l’implantation de réseaux

http://doc.pfsense.org/ Documentation sur PfSense.

http://forum.pfsense.org/ Forum Communautaire de PfSense.

irc://irc.freenod.net/pfsense Channel IRC de PfSense.

http://www.scribd.com/ Site de documentation gratuite, notamment informatique (documentation sur

Magret_Console.pdf Documentation sur MAGRET

You might also like