Création de deux réseaux (un administration, un étudiant) avec un pont - Windows & Software
Marsh Posté le 30-08-2006 à 16:29:52
Alors voilà comment je ferai (il peut y avoir plusieurs méthodes pour arriver au meme résultat) :
Tout d'abord, comme le wifi doit etre dans plusieurs salles, je mettrais un point d'accès dans chaque salle : du coup j'abandonne la fonction wifi de la livebox et je ne m'en sers qu'en temps que modem - routeur.
Chaque point d'accès wifi est relié via un cable réseau à un switch niveau 2 - 3 qui est ton coeur de réseau. C'est avec ce switch que tu vas pouvoir manager ton réseau et notamment les accès entre plages d'adresses IP.
Exemple :
Les PCs étudiants ont une adresse de type 192.168.0.x.
Les administrateurs ont une adresse de type 192.168.1.x.
Avec ton swicth niveau 2 - 3, tu peux énoncer des règles qui permettent aux IP 192.168.1.x de communiquer avec les 192.168.0.x et qui empêchent l'inverse.
Tu peux programmer chaque point d'accès wifi en serveur DHCP avec réservation d'IP par adresse MAC (adresse physique unique de chaque carte réseau / wifi) afin de ne pas à avoir à configurer chaque machine.
Voilà avec ca tu devrais avoir un wifi de bonne qualité et assez réactif, une connection internet pour tous (il suffit de connecter la livebox sur le switch et de la mettre en 192.168.2.x et d'autoriser tous les échanges entre cette plage et les autres), et d'avoir un niveau de sécurité qui empechent les étudiants de trafiquer les machines des administrateurs.
J'espère avoir répondu à ta question.
Marsh Posté le 30-08-2006 à 16:30:54
J'ai oublié de dire que cette solution a forcement un coût plus élevé que d'utiliser simplement la livebox et un serveur en mode firewall pour faire la liaison entre les 2 réseaux. Cependant elle est simple à mettre en place et propose une qualité de réseau incomparable avec la première solution.
Marsh Posté le 30-08-2006 à 16:42:27
Merci d'une réponse aussi rapide !!! (le coût n'est pas réellement problématique)
J'ai quelques petites questions utilisant habituellement plutôt des routeurs que des switchs :
- Un switch niveau 2 - 3, ça veut dire quoi exactement niveau 2 - 3 ?
- Les séparations des salles ne sont pas faites par des murs porteurs (c'est du placo) est ce vraiment utile d'utiliser plusieurs points ?
- Les régles qui permettent aux IP 192.168.1.x de communiquer avec les 192.168.0.x et qui empêchent l'inverse seront énoncer sur le switch ou un ordinateur ?
Encore merci.
Marsh Posté le 30-08-2006 à 16:58:26
Voici tes réponses :
* Niveau 2-3 : c'est le niveau du modèle OSI qui régit l'informatique. Voici un lien pour t'expliquer : http://fr.wikipedia.org/wiki/Mod%C3%A8le_OSI
* Oui un point d'accès est indispensable pour chaque salle. Un point d'accès réseau marche en hub et non en switch : imagine alors la lenteur si 50 postes sont dessus : ca fait du 54Mbits (si tu es en norme wifi g) / 50 = 1Mbits théorique par poste. Impossible de travailler dans ces conditions.
* Sur le switch uniquement : un siwtch niveau 2-3 possède une console d'administration qui permet de le configurer. Après tout dépend de la marque que tu prends...
Marsh Posté le 30-08-2006 à 16:59:16
Je me permets de reposter, et il ne faut pas mal prendre ce message (j'envisage une possibilité, ça ne veut pas dire que je ne tiens pas compte de la votre)
- Je peux créer un réseau Administratif directement sur la LiveBox
- Créer un réseau ad hoc Etudiants
- Utiliser un ordinateur Administratif relié à la LiveBox en Ethernet et en Wifi au réseau ad hoc Etudiant et créer un pont entre les deux. De cet ordinateur on peut autoriser ou non laccès à internet, et peut être autoriser le partage que pour l'administratif.
Qu'en pensez vous ?
Pour votre post, l'accès à Internet ne servira qu'a la navigation et en aucun cas au téléchargement ce qui limite l'usage de la bande passante, et le nombre d'ordinateur est définitivement 15 maximum.
Marsh Posté le 30-08-2006 à 17:18:51
Je doute de la sécurité de cette solution entre les étudiants et les administrateurs. Et je pense pas que la livebox qui reste un appareil à usage domestique soit apte à supporter un tel rôle (et donc une telle charge. Après à toi de voir ton usage. C'est vrai que 15 postes ce n'est pas bcp. C'est toi qui décide. Faudrait aussi voir ce qu'en pense d'autres personnes du forum.
Sinon tu peux me tutoyer : j'ai 21 ans.
Marsh Posté le 30-08-2006 à 17:23:27
La LiveBox Pro est pour moi plus qu'un appareil à usage domestique, si elle est pro. Maintenant je sais qu'on peut avoir le doute concernant le matériel fourni par un FAI plutôt qu'un professionnel du réseau.
Et pour le tutoiement, je ne le fais qu'après autorisation.
Donc je te remercie encore de ton aide, et au cas ou je vais voir les avis des autres personnes. Et puis choisir la solution adéquate.
Merci de ta disponibilité altarick.
Marsh Posté le 01-09-2006 à 16:00:36
Bonjour thibaultflorin,
(Je me permets de te tutoyer directement, c'est comme ça )
Je ne suis pas sûr que tu souhaites lire ça, mais une autre possibilité consiste à installer ton serveur de fichiers entre la LiveBox et un switch (peu importe son niveau). Ce serveur aurait donc deux interfaces Ethernet (ou bien une Ethernet et une WiFi, la première conectée au switch, l'autre servant à la connexion avec la LiveBox).
Là où ça devient fun, c'est que ce serveur tournerait idéalement sous Linux (ou Windows Server 2003 si tu as les moyens)...
En effet, ce que je comprends de ta description du réseau correspond pas mal à la gestion d'un domaine, avec des utilisateurs et des matériels clairement identifiés (attention, quand j'écris "utilisateurs clairement identifiés", ça peut très bien être "stagiaire1", "stagiaire2", etc).
Un domaine permet en effet notamment de gérer des groupes d'utilisateurs, en leur attribuant des droits sur certaines ressources réseau (imprimantes, dossiers partagés sur le serveur ou même sur des postes de travail).
Pour ça, Samba (sur Linux) ou les rôles "Contrôleur de Domaine" + "Serveur d'impression" + "Serveur de fichiers" sous Windows Server 2003 fonctionnent bien.
Dans un tel contexte, tous les PC utiliseraient le même sous-réseau (par exemple 192.168.1.x, avec un masque à 255.255.255.0), filaire par exemple (diable, mais à quoi servirait le WiFi alors ? Simple : à rien). Tu n'aurais qu'à gérer des utilisateurs, des groupes, des matériels et des partages de fichiers, ainsi que les droits qui vont avec, au niveau de ton serveur.
Une petite parenthèse : bien que Windows Server 2003 me semble généralement assez simple à utiliser, cela n'a pas été le cas des malheureux que j'ai eu l'occasion de former, malgré qu'ils soient généralement bien familiarisés avec Windows XP. Et même à mon niveau, dès lors qu'on commence à rentrer dans les Stratégies de Groupe (attention, malgré le nom, cela n'a rien à voir avec les groupes d'utilisateurs), les choses se complexifient assez vite (pour ne pas dire "tout de suite" ).
Attention, je ne dis pas que c'est facile : pour quelqu'un qui n'a aucune connaissance de Linux, prévoir au moins une bonne semaine pour que tout fonctionne me semble réaliste (deux idéalement, au cas où). Et pour quelqu'un qui n'a aucune connaissance de Windows Server, trois ou quatre jours doivent suffire.
Le seul truc qu'un domaine ne fasse pas en revanche (à ma connaissance, mais j'en apprends tous les jours...), c'est le filtrage de connexions Internet. Pour ça, je ne vois pas trop (à part sans doute la solution switch niveau 2-3 décrit par altarick, mais je ne connais pas). Il est certainement possible de mettre en place des règles de trafic réseau au niveau du serveur, qu'il soit Linux ou Windows : tout le trafic à destination d'Internet transite par lui, puisqu'il est placé entre le modem (LiveBox) et le switch.
Pour revenir à tes moutons (la solution que tu envisages dans ton avant-dernier post) :
J'ai lu ici ou là que la création d'un pont réseau était parfois chose complexe (en fait non, ce n'est pas difficile de le créer. Ce qui semble ardu, c'est de le faire fonctionner - je dois expérimenter ça d'ici ce soir pour le compte d'un client, je reviendrai peut-être avec plus d'infos dans quelques heures).
De plus, je ne vois pas bien comment tu comptes faire fonctionner le filtrage de connexion à Internet à partir de ton poste administratif relié à la LiveBox ? (il ne s'agit pas d'une critique au vitriol : j'ignore réellement si la solution que tu envisages est réalisable).
A bientôt,
--
agyar
Marsh Posté le 01-09-2006 à 16:48:27
Merci d'avoir pris le temps de me répondre un message aussi complet.
L'intêret du pont réseaux, et que sur la machine qui heberge le pont on a tout a fait la possibilité de partager la connection internet ou pas, voir même simplement en desactivant la connection utilisée par le réseau étudiant.
Je pense qu'il y a tellement de possibilité dans le fond que le mieux est de les essayer, j'ai comme délai maximum le 02 octobre mais au plus tôt c'est fini au mieux c'est. donc je fais faire ce test.
Marsh Posté le 01-09-2006 à 22:04:20
je mettrais tout le monde sur le meme reseau IP.
Je gererai mes utilisateurs via AD sur un serveur Windows 2003.
Sur ce serveur, j'installerai mes fichiers, mes imprimantes et la connexion internet. Ainsi que les services DHCP.
J'installerai aussi un serveur Proxy qui s'appuiera sur AD pour gérer les accès.
Et je gere tous mes utilisateurs via AD. Les droits d'accès aux ressources sont autorisés a différents groupes crées. Ainsi pour ajouter ou supprimer un utilisateurs d'accéder a tel ou tel chose, je n'ai qu' a ajouter les groupes de chaque utilisateurs.
De plus, je configure des profils itinérants. Très pratique, a condition que les utilisateurs ne sotckent leurs données que dans des lecteurs réseaux et par sur le bureau.
Pour la connexion filaire, ca posera pas de soucis pour l'ouverture de session sur domaine. Mais pour le wifi, ca sera plus capricieux.
Ensuite, le wifi, je ne sais pas comment monter une connexion wifi avant d'ouvrir une session windows (voir du coté du laboratoire microsoft, ils ont peut etre une solution sur leurs forums). Et puis c'est pas terrible en debit, et un seul AP n'est pas terrible.
Si tes locaux sont brassés, et bien un switch en brassage et des jarretieres sur les postes et voila ...
Marsh Posté le 02-09-2006 à 08:37:21
Ah ah, deux voix pour un réseau en domaine Active Directory, c'est pas mal !!
Il faut voir que les besoins que tu décris correspondent bien à ce type d'application. Si en plus, il est possible de gérer les accès en mettant en place un serveur proxy sur le serveur "central", alors c'est tout bon. Je n'ai jamais utilisé ce type de rôle, mais je pense que ShreckBull sait de quoi il parle.
Citation : je mettrais tout le monde sur le meme reseau IP. |
Alors là, entièrement d'accord.
Citation : Les droits d'accès aux ressources sont autorisés a différents groupes crées. Ainsi pour ajouter ou supprimer un utilisateurs d'accéder a tel ou tel chose, je n'ai qu' a ajouter les groupes de chaque utilisateurs. |
Un mot là-dessus : quand on n'est pas familiarisé avec le concept de groupes, ça peut paraître un peu compliqué (surtout que la formulation de ShreckBull est assez rock'n'roll - ne le prends pas mal, c'est juste que j'ai eu un peu de mal à capter le sens de la deuxième phrase).
En réalité c'est très simple : on crée des groupes auxquels on va faire appartenir les utilisateurs (la formulation est un peu compliquée : techniquement, un groupe ne contient pas d'utilisateur, ce sont les utilisateurs qui appartiennent à un groupe). Un utilisateur peut appartenir à plusieurs groupes ; dans ce cas, les droits d'accès de cet utilisateur sont obtenus en faisant la somme des droits des groupes auxquels il appartient (il existe quelques subtilités dans cette somme, mais en gros c'est ça).
Citation : De plus, je configure des profils itinérants. Très pratique, a condition que les utilisateurs ne sotckent leurs données que dans des lecteurs réseaux et par sur le bureau. |
Même ça peut être contourné : les stratégies de groupe permettent de rediriger les répertoires contenant le Bureau, le menu Démarrer (et évidemment Mes Documents) vers des emplacements réseau : l'utilisateur ne se rendra compte de rien, il manipulera son ordinateur comme d'habitude mais tous ses documents seront enregistrés sur le serveur, de façon transparente pour lui !
Citation : Pour la connexion filaire, ca posera pas de soucis pour l'ouverture de session sur domaine. Mais pour le wifi, ca sera plus capricieux. Ensuite, le wifi, je ne sais pas comment monter une connexion wifi avant d'ouvrir une session windows (voir du coté du laboratoire microsoft, ils ont peut etre une solution sur leurs forums). Et puis c'est pas terrible en debit, et un seul AP n'est pas terrible. |
Je plussoie, avec quelques ajouts :
- Si la connexion WiFi est gérée par Windows (le service "Configuration automatique sans fil", sur des postes Windows XP SP2), alors elle démarre avant l'ouverture de session. Dans les autres cas, elle ne démarre effectivement qu'après l'ouverture de session... Et quand on doit ouvrir une session pour se connecter au domaine, ben c'est gênant : la connexion sans-fil ne démarre qu'après le moment où en a besoin (c'est du vécu, sur des postes Windows 98 : je n'ai pas trouvé de moyen de faire démarrer la connexion avant l'ouverture de session).
- Pour le débit : c'est clair que si tous les utilisateurs ouvrent en même temps un document de 50 Mo, ils vont morfler. La connexion WiFi en 802.11g fait 54 MBps (théoriques ; en réalité, on est plutôt à 3 Mo/s au mieux), mais c'est divisé par le nombre d'accès simultanés. En gros, s'il y a dix accès simultanés sur un seul point d'accès, chaque connexion aura une vitesse de 300 ko/s au mieux. Pas terrible, donc. Une solution très potable dans ton cas consisterait à faire en sorte que le serveur de fichiers soit relié en Gigabit au switch. Après, celui-ci peut être relié en Gigabit aux postes, mais de l'Ethernet 100 MBps le fera aussi bien (je crois avoir vu un tel switch - un port Gigabit et plusieurs autres 100 MBps - chez Netgear).
Voilà voilà... Tiens-nous au courant (enfin, surtout moi, je sais pas si les autres sont intéressés), parce que c'est bien intéressant, comme cas d'école, ton projet !
EDIT : correction des citations, le mécanisme proposé par le forum quand on fait "Répondre" n'ayant pas l'air de bien fonctionner...
Marsh Posté le 03-09-2006 à 13:22:51
Je vous tiens au courant pour tout ça.
On possède des licences pour Windows 2000 serveur, est ce envisageable à la place du 2003 ? Ou dois-je absolument acquérir 2003 ?
Merci
Marsh Posté le 03-09-2006 à 19:13:35
Effectivment ma formulation est pas toujours super !
Mais, bon, agyar a remis a peu pret d'equerre mes propos.
ensuite, concernant les stratégies de groupe pour les profils, faut que je regarde, mais je n'ai pas de domaine de tests.
Ensuite concernant windows 2000, je pense qu'il est aussi bien capable de faire ceci que le 2003. Faut regarder la liste des différences 2000 et 2003 pour comparer ... j'ai un trou de mémoire là dessus depuis le temps que tout le monde est sous 2003.
Marsh Posté le 05-09-2006 à 02:18:51
Citation : Mais, bon, agyar a remis a peu pret d'equerre mes propos. |
Ouais, je suis assez lourd pour me faire appeler Maître Capello par ceux qui me connaissent un peu...
Citation : concernant les stratégies de groupe pour les profils, faut que je regarde, mais je n'ai pas de domaine de tests. |
Je suis certain du fait sous Windows Server 2003. Moins sous Windows Server 2000 (que je ne connais pas, je l'avoue). Mais serais tout de même surpris que cette fonctionnalité n'y soit pas déjà implémentée.
Quelques pointeurs pour commencer tes recherches, thibault :
- Le site officiel, évidemment...
- Le site dédié de SupInfo : plein d'articles intéressants, et pas mal de doc à télécharger (en cherchant bien).
- Des astuces à la pelle pour Windows 2000
Ah oui, et un point qui a son importance : le fonctionnement des licences Windows Server est un peu ardu. En gros et dans ton cas (et pour 2003 ; je ne sais pas si cela s'applique aussi à 2000), il faudrait avoir une licence par poste client. Soit 15 licences d'accès client (on dit aussi CAL, quand on veut se la péter, pour "Client Access Licences" ). Sachant que Windows Server est généralement fourni avec 5 CAL, je te laisse faire tes comptes...
Un pointeur aussi sur le sujet (en anglais mais bon) : Point de départ chez Microsoft....
Marsh Posté le 08-09-2006 à 16:47:05
Merci pour tout! j'attends les ordinateurs en début de semaine prochaine je crois, donc je vous tiendrez au courant.
Marsh Posté le 02-10-2006 à 12:13:43
Bonjour, c'est de nouveau moi.
Voilà, j'ai créé les reseaux.
Un reseau filaire, pour les étudiants, un réseaux wifi pour les profs qui ont leur portable, et un pc entre les deux qui malheureusement tourne sous XP pro et non pas windows server.
J'ai donc configurer les ip à la main, pour les étudiants, et en automatique pour les portables en wifi car je ne peux pas configurer chaque ordi...
Enfin tout cela marche.
J'aimerais désormais utiliser notre serveur de fichier en tan que proxy, afin de filtrer (genre webmessenger.msn.***, etc) et pour cela, j'ai été dans chaque poste dire que j'utilisais mon serveur comme proxy, il ne me manque plus que le proxy en lui même !!!
Aussi, je recherche un proxy gratuit à installer sur windows xp professionnel, qui puisse logguer toutes les connections, et éventuellement les bloquer lorsque je me rends compte que ce n'est pas un site convenable !!!
Avez vous des idées ???
Je vous remercie d'avance.
(je n'ai pas eu forcément les moyen espérés en terme de matériel, et c'est pour cette simple raison que je ne peux pas mettre en place les solutions que vous m'avez proposés.) J'insiste donc sur le fait qu'il me faut un proxy gratuit, vous comprendrez pourquoi.
Marsh Posté le 05-12-2006 à 08:06:48
Ton message commence à dater, mais on ne sait jamais... ?
- Je me demande si la LiveBox ne possède pas une fonctionnalité proche de ce que tu recherches, avec la possibilité de mettre en place un filtrage d'accès à Internet par adresse IP ou adresse MAC ? Evidemment, c'est dans le cas où tout le monde est connecté à la LiveBox directement, ce qui n'est peut-être pas ton cas (je me demande si dans ton cas, ce n'est pas plutôt : "tout le monde est connecté à un ordinateur sous WIn XP Pro, qui a les rôles de serveur DHCP et de routeur". J'ai essayé de trouver plus d'infos dans les posts précédents, mais sans pouvoir trancher).
- Si tout le monde DOIT transiter par l'ordi Win XP - qui redirige donc toutes les requêtes du réseau local - alors quelques minutes de persévérance t'ont peut-être permis de trouver cette page, qui me semble détailler de façon assz précise comment tout cela pourrait fonctionner, et avec quels outils. Il existe sans doute d'autres pages dans le même ton, et d'autres outils ; je ne peux t'aider plus, ne m'étant pas encore aventuré dans ce domaine...
Bon courage !
Marsh Posté le 30-08-2006 à 16:19:58
Bonjour,
Je participe actuellement, et activement à la création d'un centre de formation en alternance (sur Annecy) équipé entre autre d'une salle réseau.
Le matériel dont je dispose actuellement est le suivant :
- Une LiveBox Pro équipée de 4 ports Ethernet, wifi.
- Une quinzaine d'ordinateurs Pentium IV, windows XP professionnel équipés de carte wifi et d'un port Ethernet [Etudiants]
- Quelques ordinateurs ayant plus ou moins la même configuration [Administration]
L'impératif est de passer un maximum par le wifi, car les postes doivent pouvoir être déplacés en toute facilité dans plusieurs salles
Le but à atteindre est de créer deux réseaux un [Administration] et un [Etudiants] qui seront liés :
- Les fonctionnalités désirées pour le réseau [Etudiants] sont : partage de fichiers et d'imprimantes (seulement du réseau [Etudiants] = pas d'accès au réseau [Administration]), connection internet.
- Les fonctionnalités désirées pour le réseau [Administration] sont : partage de fichiers et d'imprimantes (du réseau [Administration] et du réseau [Etudiants]), la possibilité d'autoriser ou non l'accés à internet au réseau étudiants (sans passer par l'interface de la LiveBox Pro)
J'aimerais avoir votre avis sur la manière de mettre en place ces réseaux.
Je pensais utiliser le wifi de la live box, (chaque ordinateur est connecté à internet) et configurer un réseau pour les étudiants et un réseau pour l'administratif, avec un pont sur l'ordinateur qui sera plus ou moins serveur (imprimante et stockage) et je me pose beaucoup de questions : comment sécuriser de manière efficace le serveur [Administration]], un mot de passe ?, ... ayant beaucoup d'idées qui ne mettent pas spécialement en place toutes les fonctionnalités désirées, je vais éviter d'écrire 50 lignes de plus qui ne servirons à rien dans le fond.
Je me tourne donc vers vous afin d'obtenir vos suggestions, quelle est d'après vous la meilleure configuration du réseau à mettre en place?
Je vous remercie de m'avoir lu, et attends vos réponses avec impatience dans la mesure du possible bien entendu.
Message édité par thibaultflorin le 30-08-2006 à 16:26:55