Bonjour,
 
Je suis à la recherche d'une solution pour mettre en place un réseau Wifi secondaire.
Un réseau Wifi est déjà en place dans l'entreprise, celui sert aux employés qui ont des PC portables.
Il faudrait en fait mettre en place un second réseau wifi qui servirait uniquement aux visiteurs. Ceux-ci auraient ainsi l'unique droit d'aller sur internet.
Ce qui serait bien aussi c'est de prendre une seconde ligne afin d'avoir une alternative en cas d'une coupure de la ligne principale.
Actuellement il y a une livebox buisness 100s.
Vous avez des idées ?

Un routeur WiFi avec du DD-WRT dessus, un câble pour relier à la box, et zou
Autre solution, prendre une petite machine dédiée avec un pfSense ou m0n0wall dessus, puis derrière un "bête" point d'accès WiFi.
 
Si tu prends une 2ème ligne, la 2ème solution sera intéressante car tu pourras te faire un dual WAN géré tout seul

D'accord. J'aimerais éviter de rajouter trop d'éléments.
Un firewall est déjà en place et des points d'accès (Netgear WAG3002) sont déjà installés.
Le réseau Wifi mis en place fonctionne bien mais il n'est pas pratique lorsqu'il y a des gens venus de l'extérieur.
Il faut rajouter leur adresse MAC et leur créer un compte dans Access Directory.
Là il faudrait que les gens de l'extérieur puisse avoir accès à internet sans aucune configuration.
 
Si j'ai bien compris, ta solution c'est de dire via le firewall que tout ce qui vient de ce point d'accès peut qu'aller sur le net ?
Merci pour ton aide.  

Oui.

Désolé insisté ...
Si je veux une seconde ligne en redondance avec la première il faudra que :
- Je souscrive à une offre donc deuxième Box
- Est-ce que je peux faire passer plusieurs réseaux wifi sur une même borne d'accès ?
- Je relie ma box à la borne via un câble ethernet en passant par un switch.
- Je dirige tous les flux venant de ce point via le firewall vers la passerelle de sortie.
 
Par contre au niveau de l'authentification ça se passe comment ?
L'utilisateur devrait ne pas avoir à créer de compte.

Perso, j'utilise dans ce genre de cas (et dans 90% des autres cas ) un routeur 3 ou 4 interfaces sous Smoothwall (WAN, LAN, DMZ/LAN2 ou les deux)
 
tu branches l'AP sur le LAN2 et rien à faire niveau routage, c'est déjà prévu pour.
Les externes passent par le LAN2 et ne sont jamais sur le même réseau que l'entreprise.

Pourrais-tu détailler un peu plus la solution à mettre en place ?
 
- SmoothWall est à installé sur un PC qui deviendra un pare-feu.  
Est-ce génant si on a déjà un parefeu dans l'entreprise ?
 
Je n'ai pas trop compris l'histoire du routeur et des 3 ou 4 interfaces.
La connexion en wi-fi se réalise comment du coup ?

J'avais déjà proposé l'équivalent avec du pfSense ou du m0n0wall, avec du dual WAN en entrée (et autant qu'on veut en sortie) ça n'avait pas l'air d'inspirer

Votre solution c'est :
 
Internet -- Box -- Smoothwall / pfSense / m0n0wall -- routeur/switch -- borne wifi via ethernet.
 
Comment reconnait-on les gens issus de l'entreprise et de ceux qui ne sont que visiteurs ?
Comment fait-on pour que cette connexion internet devienne principale si la principale tombe ?

Non. Le schéma c'est :

Internet -- Box -- Smoothwall / pfSense / m0n0wall  (Interface LAN) --- Switch -- postes et serveurs de l'entreprise
                                         (Interface LAN 2)
                                               |
                                               |----------------- AP Wifi

 
Je suis loin d'être expert réseau mais pour ce point-là je penserais à :
- le guest utilise un PC qui n'est pas déclaré dans le domaine
- ou un compte d'accès du domaine à droit ultra restreint, sur un pc du domaine
 
Il y a peut-être d'autres trucs...

 
D'accord je vois un peu mieux les choses comme cela    
Par contre je ne vois pas trop la différence entre les règles du LAN et du LAN2.
Peut être que l'idée n'est pas là mais plutôt dans le fait qu'il n'y aura pas de pont entre le LAN et le LAN2 et donc qu'il ne sera pas possible au LAN2 de communiquer avec le LAN.
Maintenant disons que l'AP wifi est en public, tout le monde peut s'y connecter sans rentrer quoi que ce soit.  
Les personnes de l'entreprise qui veulent utiliser le WiFi comment vont-ils faire ?
 

 
Les deux cas peuvent se produire.
Un visiteur vient avec son PC qui n'est pas reconnu sur notre domaine et il veut aller sur internet. Comment va-t-il faire ?
On prête un PC à une personne dans ce cas on peut lui dire d'utiliser tel compte qui est pour tout le monde le même avec aucun droit si ce n'est celui de passer par le net.
 
En tout cas merci pour vos précisions, j'y vois déjà plus clair    

Il te faut différencier les AP publics de ceux pour le personnel de l'entreprise.
 
Tu pourras toujours faire des routes précises entre le LAN et le LAN2 mais le principe de base niveau sécu est que les deux sont distincts et hermétiques.
 
Si tu veux absolument utiliser les mêmes AP, alors il t'en faut qui gèrent les VLAN mais là c'est une autre histoire et je ne suis pas expert.

D'accod !
 
Donc si on reprend le schéma on aura ceci :
 
 
 
                                               |
                                               |----------------- AP Wifi
                                          (Interface WAN)                
Internet -- Box -- Smoothwall / pfSense / m0n0wall  (Interface LAN) --- Switch -- postes et serveurs de l'entreprise
                                         (Interface LAN 2)
                                               |
                                               |----------------- AP Wifi
 
WAN = réseau wifi des employés (avec accès aux serveurs).
LAN = réseau ethernet de l'entreprise (avec accès aux serveurs).
LAN2 = réseau wifi des visiteurs (seulement accès à internet).
 
Autrement dit la machine où il y aura Smoothwall / pfSense / m0n0wall devra avoir 3 cartes réseaux ?
Dans ce cas là, la communication entre le WAN et le LAN se fera de quelle façon ?
Le LAN sera non sécurisé, autrement dit tout le monde pourra y aller et le WAN sera sécurisé par WPA2 + authentification Access Directory (Déjà en place sur le réseau existant).

Non,
 
le schéma réseau serait de la sorte :
 
                                                                                                                            |------ AP Wifi employés
Internet -- Box -- (Interface WAN) Smoothwall / pfSense / m0n0wall  (Interface LAN) --- Switch -- postes et serveurs de l'entreprise  
                                         (Interface LAN 2)  
                                               |  
                                               |----------------- AP Wifi visiteurs

Ok, du coup je comprends mieux comment se fait le lien avec le wifi employé et les serveurs.
Par contre actuellement j'ai déjà ça :
                                                               |------ AP Wifi employés
Internet -- Box --  Parefeu WatchGuard --- Switch -- postes et serveurs de l'entreprise
 
Est-ce que cela vaut le coup de partir sur la solution que tu viens de me donner ? ou de rajouter sur celle qui existe déjà ?

Si tu mets un Smoothwall ou équivalent, le Watchguard est à virer.
Je passerai aussi la box en mode bridge.

Ouais c'est qu'il me semblait ...
Sauf que si je dis ça à mon boss, je pense qu'il faut que je courre très vite !
Je ne sais pas si tu as les notions de prix de ces firewall ? Il a été installé l'année dernière donc je pense qu'on va le laisser ...
Donc en somme si je veux utiliser la même connexion internet je serais obligé de passer par le watchguard.
Par contre si je prends une deuxième ligne je peux mettre en place un Smoothwall ? ou c'est complètement stupîde ?
Bon après il y aura deux pare-feu, je ne sais pas trop si ça se fait.

Si ton matos est évolutif et permet l'installation d'un 2ème LAN séparé du 1er, c'est équivalent à du Smoothwall/pfSense/m0n0wall
C'est quel modèle ?
 

1 ligne = 1 sortie = 1 firewall ? oui et non.
Là il faut voir si ton matos est évolutif, propose du dual WAN en redondance ou aggrégation voir pour mettre 1 ligne pour l'entreprise + 1 ligne en secours et visiteurs.

Solution casse-bonbon en vue

En gros tout dépend du modèle ...
D'après ce que j'ai lu sur le boîtier c'est un Firebox X mais en regardant sur le web il y a pleins de modèles différents donc faut que je regarde laquelle version c'est lundi.
La suite lundi donc ...
En attendant, bon week-end et merci à vous  

J'ai trouvé la référence du watchguard : Firebox X Core x750e.
Il y a deux boîtiers d'installé avec la même référence.
Lien sur le site WatchGuard.
Par contre pour trouver les fonctionnalités c'est pas facile ...
 
Je me pose une autre question, pourquoi appelle-t-on LAN2 le réseau où on met l'AP Wifi visiteurs ? Pourquoi ce n'est pas un WAN, comme le réseau avec l'AP Wifi employés ?

Le WAN, c'est le réseau externe à ton entreprise. Cela désigne en règle général Internet.
http://fr.wikipedia.org/wiki/R%C3%A9seau_%C3%A9tendu
 
Donc ton réseau d'entreprise avec ton AP Wifi, c'est un LAN, pas un WAN.
Un second réseau local, c'est un second LAN (LAN2)

Ce qui donne :
Interface LAN1 pour le réseau local (PC fixe connecté en ethernet),
Interface LAN2 pour le réseau WiFi Employés,
Interface WAN pour le réseau WiFi Visiteurs.
C'est bien ça ?

Je ne peux que te reposter ce schéma et t'inviter à relire mes posts :
 

J'ai bien relu tes posts.
Un Wan c'est ce qui permet de sortir (aller sur internet) du réseau entreprise LAN.
Actuellement ayant ce schéma là :  
                                                               |------ AP Wifi employés
Internet -- Box --  Parefeu WatchGuard --- Switch -- postes et serveurs de l'entreprise
 
J'ai déjà 3 interfaces, un réseau LAN via le filaire, un résau LAN via le wifi et un réseau WAN commun aux deux ?
[Par contre, le réseau filaire et wifi employé est exactement le même. Dans le sens où ils ont accès aux même choses.
J'ai quand même deux LAN ?]
Si c'est ça, le fait de rajouter une AP Wifi visiteurs ne me rajoute pas d'interface ?
Et le WAN sera partagé par les 3 ?
J'espère avoir compris cette fois ... [Désole de te mettre à bout   ]

Tu passes simplement de ça :

A ça :

Et tu règles ton pare-feu en conséquence

Merci à vous.
Le projet est un peu en stand-by mais je garde la discussion sous le coude.

Bonjour à tous,
 
Je relance le sujet puisqu'il est de nouveau d'actualité ...
N'ayant pas accès au firewall/proxy je me demande s'il ne serait pas avantageux de procéder par VLAN ?
Sachant que pour le moment il n'y en a pas de mis en place, tout le monde est dans le VLAN1.
Est-ce possible de mettre cette solution en place sans changer la configuration déjà existante ? (si ce n'est créer un VLAN 2 pour la borne Wifi)
Le Vlan sera à mettre en place sur le switch sur le port où est branché la borne ou sur la borne elle-même ?
Merci à vous pour votre aide.

Bof, ça peut se faire, mais c'est assez crade
Pourquoi tu n'as pas accès au firewall ? Il est sous leasing et tu ne peux changer la config ?

Nan il est en place chez nous mais je ne suis que l'alternant ^^
De plus je ne sais absolument pas comment ça fonctionne et j'ai pas envie de mettre le dawa...
Remarque j'ai regardé les bornes Wi-Fi de test que je vais utiliser et elles ne supportent pas le VLAN.

A voir avec ton tuteur donc, mais si tu lui présentes correctement en indiquant les possibilités, notamment une sécurité accrue pour un coût minime tout en offrant un accès internet aux clients, ça passera.
 
A toi de trouver la bonne quantité/qualité de vaseline nécessaire

Oui c'est typiquement ça l'idée !
En gros ce qu'il voulait c'est que les gens n'aient pas à entrer de code WPA ou qu'on soit obligé de rentrer leur adresse MAC pour accéder à internet.
Je vais essayer de lui en parler demain, je pense que je vais avoir besoin de conseils s'il est OK.
Merci à toi  

J'ai récupéré une vieille borne Wi-Fi Symbol AP-3020.
Mais impossible de la détecter dans les réseaux sans fils ...  
Je ne sais plus quoi faire, j'ai regardé les caractéristiques de configuration mais je n'ai rien vu de bizarre.

Bonjour à vous !
 
J'ai pas super avancé dans ce projet mais bon ...  
J'ai une autre borne Wi-Fi que j'ai pu configurer et qui marche parfaitement, il ne me reste 'plus' qu'à la brancher sur le firewall.
Mon chef m'a dit qu'il voulait impérativement une autre connexion ADSL qui servirait de ligne secondaire en cas de coupure de la primaire.
D'après moi, il suffit pour celà de prendre une offre ADSL donc une autre Box (actuellement LiveBox Business) et la brancher sur le firewall ?
Après indiquer que l'adresse de la borne wifi doit passer uniquement par l'@ IP de la seconde box ?
J'espère que je ne me suis pas fourvoyé !
Ensuite comment faire pour que la ligne ADSL de la seconde box prenne le relais lorsque la première tombe ?

A voir dans la configuration du firewall, si tu trouves une option de redondance de ligne (WAN Failover ?)... ou mieux d'aggrégation (Multi-WAN Load Balancing) : comme ça tu pourrais te servir de la 2ème ligne pour la partie WiFi visiteur en paramétrant "comme il faut" le firewall
Si la 1ère ligne tombe, toute la bande passante de la 2ème ligne est uniquement pour l'entreprise, et le WiFi visiteur est désactivé.
 
Après le bouzin que tu as (le WatchGuard), jamais travaillé dessus donc à voir

Je te remercie Bardiel, apparemment il y a bien cette option sur le Wachguard. Je n'ai pas l'accès mais mon supérieur m'a confirmé son existence. Je pense que j'aurais encore besoin de conseils d'ici quelques temps
Encore merci