si:psl:vpn

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
si:psl:vpn [2019/02/26 20:07] – [Solution technique] GNUtoosi:psl:vpn [2019/05/20 13:56] (Version actuelle) – [Inventaire] Moved into si/psl/inventaire GNUtoo
Ligne 1: Ligne 1:
 +==== Problématique ====
  
 +Le vendredi, la cité des sciences envoie un mail à son prestataire afin qu'il reconfigure les ports des switch de la cité des sciences, pour faire en sorte que les connecteurs réseaux des tables soient dans un vlan non filtré, sans aucun service (DHCP, DNS, etc). Pendant les vacances, le prestataire à tendance à ne pas faire cette reconfiguration, ce qui pose des problèmes car on se retrouve dans un réseau filtré.
 +
 +Cela pose des problèmes:
 +  * Seul les ports TCP 443 et 80 ont l'air de marcher
 +  * Les points d'entrée connus du réseau Tor sont bloqués
 +  * Le proxy apt ne peut pas être utilisé
 +
 +==== Solution technique ====
 +Dans ce cas, Il est possible de contourner le problème en mettant un serveur entre le réseau de la cité des sciences et les switches de Parinux que l'on installe sur les tables, et rediriger le tout dans un VPN.
 +
 +Le fournisseur d'accès franciliens.net qui est présent lors des événements du premier samedi le fait déjà, car ils sont dans une salle différente qui n'est pas reconfigurée.
 +
 +Le souci est que dans la salle dédiée à l'install party il y a 5 tables séparées qui sont directement connectées au réseau de la Villette. Il n'est donc pas possible de s'interfacer entre toutes les tables et le réseau de la cité des sciences.
 +
 +Solutions possibles:
 +  * Avoir un serveur par table avec 2 ports Ethernet afin de s'interfacer entre le switch de Parinux et le réseau de la cité des sciences.
 +  * Avoir un serveur pour toute la salle qui s'interface entre le réseau de la cité des sciences et les switches de Parinux. Le souci est qu'il faut ensuite relier les switches directement entre eux pour que ça marche. Dans ce cas il faut éviter que des personnes se prennent les pieds dans les câbles et tombent. Pour cela il peut être possible de trouver des caches en plastique à scotcher par terre. Par contre cela prend du temps à installer, donc afin que le réseau marche à temps il vaudrait mieux la solution qui utilise un serveur par table.
 +  * Avoir un ou plusieurs serveurs fonctionels (brique Internet, etc), avec une ou plusieurs interfaces WiFi, et connecter les ordinateurs par WiFi.
 +
 +Au vu des contraintes le plus simple est de commencer uniquement avec du WiFi, puis rajouter le support Ethernet par bridge. 
 +
 +=== WiFi ===
 +On a en général plusieurs dizaines de personnes (mais clairement en dessous de 100 personnes), on doit donc prévoir un système WiFi qui gère ça.
 +  * Les cartes WiFi compatibles avec le driver ath9k_htc ne gèrent que 7 clients: [[https://wireless.wiki.kernel.org/en/users/drivers/ath9k_htc#supported_features|"AP Mode (NOTE: AP mode works only with up to 7 stations due to a firmware limitation)"]]. Ce driver ne gère pas non plus correctement la gestion d'énergie. Çela peut être un souci pour les smartphones.
 +  * Les drivers ath9k et ath5k devraient pouvoir gérer un certain nombre de clients.
 +  * On peut aussi utiliser des points d'accès WiFi compatibles OpenWRT en mettant l'interface Ethernet et l'interface WiFi dans le même bridge.
 +
 +Par exemple cela pourrait donner la configuration suivante: Connecteur Ethernet sur une table <-> Serveur (Brique par exemple) <-> Interface Ethernet-USB <-> Point d'accès WiFi sous OpenWRT avec une interface WiFi compatible avec ath9k
 +
 +=== Ethernet ===
 +
 +L'idéal serait d'utiliser le WiFi afin de faire un bridge entre les switch Ethernet sur les tables. Cela permetterais d'avoir un seul VPN à utiliser.
 +
 +Documentation:
 +  * https://openwrt.org/docs/guide-user/network/wifi/atheroswds
 +  * https://superuser.com/questions/520172/wired-to-wireless-bridge-in-linux
 +  * https://oldwiki.archive.openwrt.org/doc/recipes/bridgedclient
 +
 +=== Déploiment ===
 +Pour commencer, si le réseau marche:
 +  * Rajouter le support WiFi en rajoutant une interface Ethernet au serveur du premier Samedi
 +  * Rajouter un point d'accès WiFi avec un bridge Ethernet + WiFi en le connectant à la seconde interface. Les clients sont sensés se connecter de façon transparente et utiliser le DHCP du serveur principal. Le point d'accès WiFi ne doit pas fournir de DHCP, etc.
 +
 +Dans un second temps:
 +  * Activer le WDS/4-address frames sur les points d'accès et tester si ça marche encore
 +  * Connecter les switch sur les tables à un bridge WiFi à la place des tables.
 +
 +=== Development ===
 +Il est pas souhaitable de devoir travailler ou améliorer le réseau pendant le premier samedi car:
 +  * Les personnes y travaillant veulent peut être aider à résoudre des problèmes techniques lors des installations
 +  * Il n'y à que 4 heures et le réseau est utilisé
 +
 +Une des solutions possible serait de travailler dessus à la maison et de rammener une carte microSD avec les dernières modifications, puis lors de l'installation du réseau il suffirait d'échanger la carte microSD avec celle précédeament dans l'appareil.
 +
 +De cette manière:
 +  * il y'a toujours une solution qui est sensé marcher sur place
 +  * il est possible de travailler dessus à un autre moment à condition d'avoir du matériel compatible ou similaire à la maison
 +
 +=== Statistiques ===
 +Une fois en opération il va faloir obtenir les statistiques suivantes:
 +  * Le nombre de personnes
 +  * La quantitée données transitant par le VPN
 +  * La charge processeur et RAM du serveur principal
 +  * La charge réseau des cartes réseaux du serveur principal, surtout celle en USB
 +
 +Il n'est pas désirable d'avoir des statistiques précises afin de preserver l'intimitée des personnes.
 +Des statistiques aproximatives sont suffisantes afin de pouvoir dimentioner les machines faisant fonctionner le réseau.
 +
 +Il serait aussi intéressant de faire un inventaire du matériel de Parinux présent sur place afin de ne pas avoir à se faire préter trop de matériel si on en possède déja.
 +
 +==== Matériel Requis ====
 +  * Un serveur central:
 +    * Pour l'instant un raspberry PI sous raspbian.
 +    * Migration prévue vers une Lime 1 A20 sous debian stretch armhf.
 +  * Une seconde interface Ethernet sur le serveur central
 +    * On à une carte USB<->Ethernet prétée
 +  * Un ou plusieurs points d'accès WiFi robuste avec ath9k, afin de gérer plusieurs dixaines de personnes.
 +    * On devrait pouvoir en trouver un prété pour l'ocasion
 +  * 4 point d'accès WiFi ou ordinateurs avec une carte WiFi et Ethernet pour faire un pont WiFi en mode client
 +    * On à un second Raspberry PI prété
 +    * On à une lime1 A20
 +    * On peux obtenir une Alix 1C
 +    * On devrait pouvoir avoir un ordinateur portable en prèt pour ça
 +  * Un VPN
 +    * Franciliens.net nous à gracieusement prèté un VPN pour l'ocasion
 +      * TODO: Demander la configuration VPN
 +      * TODO: Verifier que l'on à bien le cache de paquet activé et regarder la quantité de trafic réseau à destination du VPN
 +
 +==== Inventaire ====