Retour expérience : Alix bridge + firewall/authpf
Locked
Retour expérience : Alix bridge + firewall/authpf
 
|
Bonsoir,
je vous propose un petit retour d'expérience sur la mise en place d'une modeste infra dans un cadre associatif. L'idée de base était de fournir dans 2 bâtiments distincts un réseau informatique ouvert à tous mais dont la sortie vers internet n'est autorisée que pour les utilisateurs "authentifiés". La connexion ouvert à tous en local permet l'utilisation en réseau de machines outils et d'imprimantes. Les utilisateurs sont membres de l'association et viennent avec leur propre ordinateur. Les connexions disponibles sont filaires et wifi. Le tout est piloté par : - une borne wifi avec OpenBSD 5.5 - un firewall avec OpenBSD 5.4 Pour le wifi, j'ai opté pour un boitier ALIX 2D13 complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92 et une carte MC 256Mo pour le stockage. La configuration de la borne est de type bridge, juste un pont vers le firewall. Pour le réseau, je me suis inspiré de la documentation suivante : http://www.bsdnow.tv/tutorials/openbsd-router Là ou ça se corse un peu c'est l'utilisation de la carte MC. Elle n'a pas trop apprécié une installation classique du FS Voici à quoi ressemblait le fstab au départ : 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 Malheureusement les options softdep et noatime n'ont pas empêché la carte MC de souffrir : freeze du système avec des erreurs sur le fs (/dev à priori). Malheureusement je n'ai pas pensé à garder les messages d'erreur dans un coin. En lisant les man/blogs et autres docs, comme http://www.packetmischief.ca/openbsd-compact-flash-firewall/, j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs /etc/fstab 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 tmpfs /tmp tmpfs rw 0 0 tmpfs /var/tmp tmpfs rw 0 0 tmpfs /var/run tmpfs rw 0 0 tmpfs /var/log tmpfs rw 0 0 Modification de /etc/rc pour mettre /dev en ram umount -a >/dev/null 2>&1 mount -a -t nonfs,vnd mount -uw / # root on nfs requires this, others aren't hurt rm -f /fastboot # XXX (root now writeable) echo -n "Making memory filesystems... " echo -n "/dev " mount_tmpfs tmpfs /dev cd /dev && /sbin/MAKEDEV all chmod 755 /dev echo Plus envoie des logs de la borne sur le firewall. Quand au firewall (hostname = fw) il offre au réseau interne les services suivants : - cache DNS - serveur DHCP - serveur de logs (accepte les logs que de la borne wifi) - serveur Web NGINX pour afficher une page d'informations sur comment "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour unix and co. - firewall : PF et AuthPF PF intercepte toutes les requêtes http et https vers l'extérieur et les redirigent vers le firewall : pass in on $int_if proto tcp from $int_network to ! $int_if port http rdr-to $int_if port http pass in on $int_if proto tcp from $int_network to ! $int_if port https rdr-to $int_if port https Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf) if ($host != fw) { rewrite ^/(.*)$ http://fw/ permanent; } Pour la partie "ouverture" vers l'extérieur : 1) les comptes sont créés avec comme shell : /usr/sbin/authpf 2) pf.conf avec l'"ancre" authpf # Anchor for authpf anchor "authpf/*" 3) /etc/authph/authpf.rules int_if = "xl0" pass in on $inf_if from $user_ip to any # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus) # qui sont positionnées en fin de fichier de conf et qui redirige les connexions http et https pass in quick on $inf_if proto tcp from $user_ip to any port { http https } Pour conclure, j'ai une installation qui a demandé peut d'investissement, qui est assez simple à mettre en place et full openbsd. Une expérience qu'il me semblait intéressante à partager. Il manque juste une petite interface web pour créer les comptes utilisateurs et ça sera parfait :) Les commentaires, remarques, suggestions, critiques constructives sont les bienvenues. :) Cordialement, -- Frédéric ________________________________ French OpenBSD mailing list [hidden email] http://www.openbsd-france.org/communaute.php |
Re: Retour expérience : Alix bridge + firewall/authpf
|
|
Merci pour ce partage en effet ; ça pourrait être utile aussi.
Jean-François Le 26/09/2014 00:15, FERRERE Frédéric a écrit : > Bonsoir, > > je vous propose un petit retour d'expérience sur la mise en place > d'une modeste infra dans un cadre associatif. > > L'idée de base était de fournir dans 2 bâtiments distincts > un réseau informatique ouvert à tous > mais dont la sortie vers internet n'est autorisée > que pour les utilisateurs "authentifiés". > > La connexion ouvert à tous en local permet l'utilisation > en réseau de machines outils et d'imprimantes. > > Les utilisateurs sont membres de l'association > et viennent avec leur propre ordinateur. > > Les connexions disponibles sont filaires et wifi. > > Le tout est piloté par : > - une borne wifi avec OpenBSD 5.5 > - un firewall avec OpenBSD 5.4 > > > Pour le wifi, j'ai opté pour un boitier ALIX 2D13 > complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92 > et une carte MC 256Mo pour le stockage. > > La configuration de la borne est de type bridge, > juste un pont vers le firewall. > > Pour le réseau, je me suis inspiré de la documentation suivante : > http://www.bsdnow.tv/tutorials/openbsd-router > > Là ou ça se corse un peu c'est l'utilisation de la carte MC. > Elle n'a pas trop apprécié une installation classique du FS > Voici à quoi ressemblait le fstab au départ : > 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 > > Malheureusement les options softdep et noatime n'ont pas empêché la > carte MC de souffrir : > freeze du système avec des erreurs sur le fs (/dev à priori). > Malheureusement je n'ai pas pensé à garder les messages > d'erreur dans un coin. > > En lisant les man/blogs et autres docs, comme > http://www.packetmischief.ca/openbsd-compact-flash-firewall/, > j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs > > /etc/fstab > 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 > tmpfs /tmp tmpfs rw 0 0 > tmpfs /var/tmp tmpfs rw 0 0 > tmpfs /var/run tmpfs rw 0 0 > tmpfs /var/log tmpfs rw 0 0 > > Modification de /etc/rc pour mettre /dev en ram > > umount -a >/dev/null 2>&1 > mount -a -t nonfs,vnd > mount -uw / # root on nfs requires this, others aren't hurt > rm -f /fastboot # XXX (root now writeable) > > echo -n "Making memory filesystems... " > echo -n "/dev " > mount_tmpfs tmpfs /dev > cd /dev && /sbin/MAKEDEV all > chmod 755 /dev > echo > > Plus envoie des logs de la borne sur le firewall. > > > Quand au firewall (hostname = fw) il offre au réseau interne les > services suivants : > - cache DNS > - serveur DHCP > - serveur de logs (accepte les logs que de la borne wifi) > - serveur Web NGINX pour afficher une page d'informations sur comment > "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour > unix and co. > - firewall : PF et AuthPF > > PF intercepte toutes les requêtes http et https vers l'extérieur > et les redirigent vers le firewall : > > pass in on $int_if proto tcp from $int_network to ! $int_if port http > rdr-to $int_if port http > pass in on $int_if proto tcp from $int_network to ! $int_if port https > rdr-to $int_if port https > > Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf) > > if ($host != fw) { > rewrite ^/(.*)$ http://fw/ permanent; > } > > > Pour la partie "ouverture" vers l'extérieur : > 1) les comptes sont créés avec comme shell : /usr/sbin/authpf > 2) pf.conf avec l'"ancre" authpf > # Anchor for authpf > anchor "authpf/*" > > 3) /etc/authph/authpf.rules > int_if = "xl0" > > pass in on $inf_if from $user_ip to any > > # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus) > # qui sont positionnées en fin de fichier de conf et qui redirige les > connexions http et https > pass in quick on $inf_if proto tcp from $user_ip to any port { http > https } > > > Pour conclure, j'ai une installation qui a demandé peut d'investissement, > qui est assez simple à mettre en place et full openbsd. > > Une expérience qu'il me semblait intéressante à partager. > > Il manque juste une petite interface web pour créer les comptes > utilisateurs > et ça sera parfait :) > > Les commentaires, remarques, suggestions, critiques constructives > sont les bienvenues. :) > > Cordialement, > -- > Frédéric > > > > > ________________________________ > French OpenBSD mailing list > [hidden email] > http://www.openbsd-france.org/communaute.php > ________________________________ French OpenBSD mailing list [hidden email] http://www.openbsd-france.org/communaute.php |
|
|
Yop, en effets merci à toi.
Je suis justement en train de jouer avec ces boîtiers Alix et la carte minipci x2 NIC Gigabits, j'installe pfSense dessus. Je sais pas si tu as eu ce soucis, mais mes interfaces réseaux sont détectés en 10BaseT Half-Duplex (on est loin du Gigabit ... :). Merci quand même du retours. On 26/09/2014 13:07, Jean-Francois Simon wrote: > Merci pour ce partage en effet ; ça pourrait être utile aussi. > > Jean-François > > Le 26/09/2014 00:15, FERRERE Frédéric a écrit : >> Bonsoir, >> >> je vous propose un petit retour d'expérience sur la mise en place >> d'une modeste infra dans un cadre associatif. >> >> L'idée de base était de fournir dans 2 bâtiments distincts >> un réseau informatique ouvert à tous >> mais dont la sortie vers internet n'est autorisée >> que pour les utilisateurs "authentifiés". >> >> La connexion ouvert à tous en local permet l'utilisation >> en réseau de machines outils et d'imprimantes. >> >> Les utilisateurs sont membres de l'association >> et viennent avec leur propre ordinateur. >> >> Les connexions disponibles sont filaires et wifi. >> >> Le tout est piloté par : >> - une borne wifi avec OpenBSD 5.5 >> - un firewall avec OpenBSD 5.4 >> >> >> Pour le wifi, j'ai opté pour un boitier ALIX 2D13 >> complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92 >> et une carte MC 256Mo pour le stockage. >> >> La configuration de la borne est de type bridge, >> juste un pont vers le firewall. >> >> Pour le réseau, je me suis inspiré de la documentation suivante : >> http://www.bsdnow.tv/tutorials/openbsd-router >> >> Là ou ça se corse un peu c'est l'utilisation de la carte MC. >> Elle n'a pas trop apprécié une installation classique du FS >> Voici à quoi ressemblait le fstab au départ : >> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 >> >> Malheureusement les options softdep et noatime n'ont pas empêché la >> carte MC de souffrir : >> freeze du système avec des erreurs sur le fs (/dev à priori). >> Malheureusement je n'ai pas pensé à garder les messages >> d'erreur dans un coin. >> >> En lisant les man/blogs et autres docs, comme >> http://www.packetmischief.ca/openbsd-compact-flash-firewall/, >> j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs >> >> /etc/fstab >> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 >> tmpfs /tmp tmpfs rw 0 0 >> tmpfs /var/tmp tmpfs rw 0 0 >> tmpfs /var/run tmpfs rw 0 0 >> tmpfs /var/log tmpfs rw 0 0 >> >> Modification de /etc/rc pour mettre /dev en ram >> >> umount -a >/dev/null 2>&1 >> mount -a -t nonfs,vnd >> mount -uw / # root on nfs requires this, others aren't hurt >> rm -f /fastboot # XXX (root now writeable) >> >> echo -n "Making memory filesystems... " >> echo -n "/dev " >> mount_tmpfs tmpfs /dev >> cd /dev && /sbin/MAKEDEV all >> chmod 755 /dev >> echo >> >> Plus envoie des logs de la borne sur le firewall. >> >> >> Quand au firewall (hostname = fw) il offre au réseau interne les >> services suivants : >> - cache DNS >> - serveur DHCP >> - serveur de logs (accepte les logs que de la borne wifi) >> - serveur Web NGINX pour afficher une page d'informations sur comment >> "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour >> unix and co. >> - firewall : PF et AuthPF >> >> PF intercepte toutes les requêtes http et https vers l'extérieur >> et les redirigent vers le firewall : >> >> pass in on $int_if proto tcp from $int_network to ! $int_if port http >> rdr-to $int_if port http >> pass in on $int_if proto tcp from $int_network to ! $int_if port https >> rdr-to $int_if port https >> >> Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf) >> >> if ($host != fw) { >> rewrite ^/(.*)$ http://fw/ permanent; >> } >> >> >> Pour la partie "ouverture" vers l'extérieur : >> 1) les comptes sont créés avec comme shell : /usr/sbin/authpf >> 2) pf.conf avec l'"ancre" authpf >> # Anchor for authpf >> anchor "authpf/*" >> >> 3) /etc/authph/authpf.rules >> int_if = "xl0" >> >> pass in on $inf_if from $user_ip to any >> >> # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus) >> # qui sont positionnées en fin de fichier de conf et qui redirige les >> connexions http et https >> pass in quick on $inf_if proto tcp from $user_ip to any port { http >> https } >> >> >> Pour conclure, j'ai une installation qui a demandé peut d'investissement, >> qui est assez simple à mettre en place et full openbsd. >> >> Une expérience qu'il me semblait intéressante à partager. >> >> Il manque juste une petite interface web pour créer les comptes >> utilisateurs >> et ça sera parfait :) >> >> Les commentaires, remarques, suggestions, critiques constructives >> sont les bienvenues. :) >> >> Cordialement, >> -- >> Frédéric >> >> >> >> >> ________________________________ >> French OpenBSD mailing list >> [hidden email] >> http://www.openbsd-france.org/communaute.php >> > > > ________________________________ > French OpenBSD mailing list > [hidden email] > http://www.openbsd-france.org/communaute.php > -- Pierre B. GPG : 0x0B694394 Jabber : [hidden email] ________________________________ French OpenBSD mailing list [hidden email] http://www.openbsd-france.org/communaute.php |
Re: Retour expérience : Alix bridge + firewall/authpf
|
|
Le 26/09/2014 15:05, Pierre B. a écrit :
> Yop, en effets merci à toi. > > Je suis justement en train de jouer avec ces boîtiers Alix et la carte > minipci x2 NIC Gigabits, j'installe pfSense dessus. > > Je sais pas si tu as eu ce soucis, mais mes interfaces réseaux sont > détectés en 10BaseT Half-Duplex (on est loin du Gigabit ... :). A priori c'est du 10/100 et pas du Giga. Connectivity: 3 Ethernet channels (Via VT6105M 10/100) http://www.pcengines.ch/alix2d13.htm > > Merci quand même du retours. > > > > On 26/09/2014 13:07, Jean-Francois Simon wrote: >> Merci pour ce partage en effet ; ça pourrait être utile aussi. >> >> Jean-François >> >> Le 26/09/2014 00:15, FERRERE Frédéric a écrit : >>> Bonsoir, >>> >>> je vous propose un petit retour d'expérience sur la mise en place >>> d'une modeste infra dans un cadre associatif. >>> >>> L'idée de base était de fournir dans 2 bâtiments distincts >>> un réseau informatique ouvert à tous >>> mais dont la sortie vers internet n'est autorisée >>> que pour les utilisateurs "authentifiés". >>> >>> La connexion ouvert à tous en local permet l'utilisation >>> en réseau de machines outils et d'imprimantes. >>> >>> Les utilisateurs sont membres de l'association >>> et viennent avec leur propre ordinateur. >>> >>> Les connexions disponibles sont filaires et wifi. >>> >>> Le tout est piloté par : >>> - une borne wifi avec OpenBSD 5.5 >>> - un firewall avec OpenBSD 5.4 >>> >>> >>> Pour le wifi, j'ai opté pour un boitier ALIX 2D13 >>> complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92 >>> et une carte MC 256Mo pour le stockage. >>> >>> La configuration de la borne est de type bridge, >>> juste un pont vers le firewall. >>> >>> Pour le réseau, je me suis inspiré de la documentation suivante : >>> http://www.bsdnow.tv/tutorials/openbsd-router >>> >>> Là ou ça se corse un peu c'est l'utilisation de la carte MC. >>> Elle n'a pas trop apprécié une installation classique du FS >>> Voici à quoi ressemblait le fstab au départ : >>> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 >>> >>> Malheureusement les options softdep et noatime n'ont pas empêché la >>> carte MC de souffrir : >>> freeze du système avec des erreurs sur le fs (/dev à priori). >>> Malheureusement je n'ai pas pensé à garder les messages >>> d'erreur dans un coin. >>> >>> En lisant les man/blogs et autres docs, comme >>> http://www.packetmischief.ca/openbsd-compact-flash-firewall/, >>> j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs >>> >>> /etc/fstab >>> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 >>> tmpfs /tmp tmpfs rw 0 0 >>> tmpfs /var/tmp tmpfs rw 0 0 >>> tmpfs /var/run tmpfs rw 0 0 >>> tmpfs /var/log tmpfs rw 0 0 >>> >>> Modification de /etc/rc pour mettre /dev en ram >>> >>> umount -a >/dev/null 2>&1 >>> mount -a -t nonfs,vnd >>> mount -uw / # root on nfs requires this, others aren't hurt >>> rm -f /fastboot # XXX (root now writeable) >>> >>> echo -n "Making memory filesystems... " >>> echo -n "/dev " >>> mount_tmpfs tmpfs /dev >>> cd /dev && /sbin/MAKEDEV all >>> chmod 755 /dev >>> echo >>> >>> Plus envoie des logs de la borne sur le firewall. >>> >>> >>> Quand au firewall (hostname = fw) il offre au réseau interne les >>> services suivants : >>> - cache DNS >>> - serveur DHCP >>> - serveur de logs (accepte les logs que de la borne wifi) >>> - serveur Web NGINX pour afficher une page d'informations sur comment >>> "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour >>> unix and co. >>> - firewall : PF et AuthPF >>> >>> PF intercepte toutes les requêtes http et https vers l'extérieur >>> et les redirigent vers le firewall : >>> >>> pass in on $int_if proto tcp from $int_network to ! $int_if port http >>> rdr-to $int_if port http >>> pass in on $int_if proto tcp from $int_network to ! $int_if port https >>> rdr-to $int_if port https >>> >>> Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf) >>> >>> if ($host != fw) { >>> rewrite ^/(.*)$ http://fw/ permanent; >>> } >>> >>> >>> Pour la partie "ouverture" vers l'extérieur : >>> 1) les comptes sont créés avec comme shell : /usr/sbin/authpf >>> 2) pf.conf avec l'"ancre" authpf >>> # Anchor for authpf >>> anchor "authpf/*" >>> >>> 3) /etc/authph/authpf.rules >>> int_if = "xl0" >>> >>> pass in on $inf_if from $user_ip to any >>> >>> # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus) >>> # qui sont positionnées en fin de fichier de conf et qui redirige les >>> connexions http et https >>> pass in quick on $inf_if proto tcp from $user_ip to any port { http >>> https } >>> >>> >>> Pour conclure, j'ai une installation qui a demandé peut d'investissement, >>> qui est assez simple à mettre en place et full openbsd. >>> >>> Une expérience qu'il me semblait intéressante à partager. >>> >>> Il manque juste une petite interface web pour créer les comptes >>> utilisateurs >>> et ça sera parfait :) >>> >>> Les commentaires, remarques, suggestions, critiques constructives >>> sont les bienvenues. :) >>> >>> Cordialement, >>> -- >>> Frédéric >>> >>> >>> >>> >>> ________________________________ >>> French OpenBSD mailing list >>> [hidden email] >>> http://www.openbsd-france.org/communaute.php >>> >> >> >> ________________________________ >> French OpenBSD mailing list >> [hidden email] >> http://www.openbsd-france.org/communaute.php >> > -- Cordialement, Jean-Claude aka jc1 ________________________________ French OpenBSD mailing list [hidden email] http://www.openbsd-france.org/communaute.php |
|
|
In reply to this post by FERRERE Frédéric
Le 26/09/2014 00:15, FERRERE Frédéric a écrit :
> Bonsoir, > > je vous propose un petit retour d'expérience sur la mise en place > d'une modeste infra dans un cadre associatif. > > ... > > Les commentaires, remarques, suggestions, critiques constructives > sont les bienvenues. :) > > Cordialement, > -- > Frédéric > > Bonsoir Frédéric, Sympa ce retour d'expérience, merci! Mxher ________________________________ French OpenBSD mailing list [hidden email] http://www.openbsd-france.org/communaute.php |
Re: Retour expérience : Alix bridge + firewall/authpf
|
|
In reply to this post by FERRERE Frédéric
Bonsoir,
tout d'abord merci aussi pour cet enrichissant retour d'expérience, bien détaillé techniquement :). On Fri, Sep 26, 2014 at 12:15:59AM +0200, FERRERE Frédéric wrote: (...) > Là ou ça se corse un peu c'est l'utilisation de la carte MC. > Elle n'a pas trop apprécié une installation classique du FS > Voici à quoi ressemblait le fstab au départ : > 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 > > Malheureusement les options softdep et noatime n'ont pas empêché la > carte MC de souffrir : > freeze du système avec des erreurs sur le fs (/dev à priori). > Malheureusement je n'ai pas pensé à garder les messages > d'erreur dans un coin. > > En lisant les man/blogs et autres docs, comme > http://www.packetmischief.ca/openbsd-compact-flash-firewall/, > j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs J'imagine que tu as parcouru ces sites/projets au cours de tes recherches mais à titre de rappel, les projets (vieux mais encore utiles) Flashboot et Flashrd traitent bien ce problème. Ce sont des ensembles / configs pour builder une distrib spécifique OpenBSD / FW + autres services avec un device "léger" pour le filesystem (Compact Flash, SD Card, clé USB...). Y'a des bonnes idées / scripts / code / config à récuperer dedans au minimum - Flashboot http://www.mindrot.org/projects/flashboot/ https://github.com/openbsd/flashboot - Flashrd http://www.nmedia.net/flashrd/ ++ Laurent ________________________________ French OpenBSD mailing list [hidden email] http://www.openbsd-france.org/communaute.php |
Re: Retour expérience : Alix bridge + firewall/authpf
|
|
In reply to this post by FERRERE Frédéric
Bonjour Frédéric,
Merci pour ce retour d'expérience. Ça m'intéresse. J'ai une Soekris 4511 à transformer en borne Wifi. Juste une question, pour installer OpenBSD sur la carte MC tu passes par un outil comme Flashrd ou Flashboot (signalés par Laurent) ? Merci pour les liens. A+ Éric Le vendredi 26 septembre 2014 à 00:15 +0200, FERRERE Frédéric a écrit : > Bonsoir, > > je vous propose un petit retour d'expérience sur la mise en place > d'une modeste infra dans un cadre associatif. > > L'idée de base était de fournir dans 2 bâtiments distincts > un réseau informatique ouvert à tous > mais dont la sortie vers internet n'est autorisée > que pour les utilisateurs "authentifiés". > > La connexion ouvert à tous en local permet l'utilisation > en réseau de machines outils et d'imprimantes. > > Les utilisateurs sont membres de l'association > et viennent avec leur propre ordinateur. > > Les connexions disponibles sont filaires et wifi. > > Le tout est piloté par : > - une borne wifi avec OpenBSD 5.5 > - un firewall avec OpenBSD 5.4 > > > Pour le wifi, j'ai opté pour un boitier ALIX 2D13 > complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92 > et une carte MC 256Mo pour le stockage. > > La configuration de la borne est de type bridge, > juste un pont vers le firewall. > > Pour le réseau, je me suis inspiré de la documentation suivante : > http://www.bsdnow.tv/tutorials/openbsd-router > > Là ou ça se corse un peu c'est l'utilisation de la carte MC. > Elle n'a pas trop apprécié une installation classique du FS > Voici à quoi ressemblait le fstab au départ : > 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 > > Malheureusement les options softdep et noatime n'ont pas empêché la > carte MC de souffrir : > freeze du système avec des erreurs sur le fs (/dev à priori). > Malheureusement je n'ai pas pensé à garder les messages > d'erreur dans un coin. > > En lisant les man/blogs et autres docs, comme > http://www.packetmischief.ca/openbsd-compact-flash-firewall/, > j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs > > /etc/fstab > 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 > tmpfs /tmp tmpfs rw 0 0 > tmpfs /var/tmp tmpfs rw 0 0 > tmpfs /var/run tmpfs rw 0 0 > tmpfs /var/log tmpfs rw 0 0 > > Modification de /etc/rc pour mettre /dev en ram > > umount -a >/dev/null 2>&1 > mount -a -t nonfs,vnd > mount -uw / # root on nfs requires this, others aren't hurt > rm -f /fastboot # XXX (root now writeable) > > echo -n "Making memory filesystems... " > echo -n "/dev " > mount_tmpfs tmpfs /dev > cd /dev && /sbin/MAKEDEV all > chmod 755 /dev > echo > > Plus envoie des logs de la borne sur le firewall. > > > Quand au firewall (hostname = fw) il offre au réseau interne les > services suivants : > - cache DNS > - serveur DHCP > - serveur de logs (accepte les logs que de la borne wifi) > - serveur Web NGINX pour afficher une page d'informations sur comment > "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour unix > and co. > - firewall : PF et AuthPF > > PF intercepte toutes les requêtes http et https vers l'extérieur > et les redirigent vers le firewall : > > pass in on $int_if proto tcp from $int_network to ! $int_if port http > rdr-to $int_if port http > pass in on $int_if proto tcp from $int_network to ! $int_if port https > rdr-to $int_if port https > > Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf) > > if ($host != fw) { > rewrite ^/(.*)$ http://fw/ permanent; > } > > > Pour la partie "ouverture" vers l'extérieur : > 1) les comptes sont créés avec comme shell : /usr/sbin/authpf > 2) pf.conf avec l'"ancre" authpf > # Anchor for authpf > anchor "authpf/*" > > 3) /etc/authph/authpf.rules > int_if = "xl0" > > pass in on $inf_if from $user_ip to any > > # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus) > # qui sont positionnées en fin de fichier de conf et qui redirige les > connexions http et https > pass in quick on $inf_if proto tcp from $user_ip to any port { http https } > > > Pour conclure, j'ai une installation qui a demandé peut d'investissement, > qui est assez simple à mettre en place et full openbsd. > > Une expérience qu'il me semblait intéressante à partager. > > Il manque juste une petite interface web pour créer les comptes utilisateurs > et ça sera parfait :) > > Les commentaires, remarques, suggestions, critiques constructives > sont les bienvenues. :) > > Cordialement, > -- > Frédéric > > > > > ________________________________ > French OpenBSD mailing list > [hidden email] > http://www.openbsd-france.org/communaute.php > ________________________________ French OpenBSD mailing list [hidden email] http://www.openbsd-france.org/communaute.php |
Re: Retour expérience : Alix bridge + firewall/authpf
|
|
Bonsoir Eric,
j'utilise le boot réseau (PXE) des boitiers Alix2d13 et les outils qui vont bien sur le firewall OpenBSD : tftp, dhcp, pxeboot. http://www.openbsd.org/cgi-bin/man.cgi?query=pxeboot&apropos=0&sec=0&arch=default&manpath=OpenBSD-current Cordialement, -- Frédéric Le 06/10/2014 17:39, Eric Boudrand a écrit : > Bonjour Frédéric, > > Merci pour ce retour d'expérience. Ça m'intéresse. J'ai une Soekris 4511 > à transformer en borne Wifi. Juste une question, pour installer OpenBSD > sur la carte MC tu passes par un outil comme Flashrd ou Flashboot > (signalés par Laurent) ? > > Merci pour les liens. > > A+ > > Éric > > > > Le vendredi 26 septembre 2014 à 00:15 +0200, FERRERE Frédéric a écrit : >> Bonsoir, >> >> je vous propose un petit retour d'expérience sur la mise en place >> d'une modeste infra dans un cadre associatif. >> >> L'idée de base était de fournir dans 2 bâtiments distincts >> un réseau informatique ouvert à tous >> mais dont la sortie vers internet n'est autorisée >> que pour les utilisateurs "authentifiés". >> >> La connexion ouvert à tous en local permet l'utilisation >> en réseau de machines outils et d'imprimantes. >> >> Les utilisateurs sont membres de l'association >> et viennent avec leur propre ordinateur. >> >> Les connexions disponibles sont filaires et wifi. >> >> Le tout est piloté par : >> - une borne wifi avec OpenBSD 5.5 >> - un firewall avec OpenBSD 5.4 >> >> >> Pour le wifi, j'ai opté pour un boitier ALIX 2D13 >> complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92 >> et une carte MC 256Mo pour le stockage. >> >> La configuration de la borne est de type bridge, >> juste un pont vers le firewall. >> >> Pour le réseau, je me suis inspiré de la documentation suivante : >> http://www.bsdnow.tv/tutorials/openbsd-router >> >> Là ou ça se corse un peu c'est l'utilisation de la carte MC. >> Elle n'a pas trop apprécié une installation classique du FS >> Voici à quoi ressemblait le fstab au départ : >> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 >> >> Malheureusement les options softdep et noatime n'ont pas empêché la >> carte MC de souffrir : >> freeze du système avec des erreurs sur le fs (/dev à priori). >> Malheureusement je n'ai pas pensé à garder les messages >> d'erreur dans un coin. >> >> En lisant les man/blogs et autres docs, comme >> http://www.packetmischief.ca/openbsd-compact-flash-firewall/, >> j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs >> >> /etc/fstab >> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1 >> tmpfs /tmp tmpfs rw 0 0 >> tmpfs /var/tmp tmpfs rw 0 0 >> tmpfs /var/run tmpfs rw 0 0 >> tmpfs /var/log tmpfs rw 0 0 >> >> Modification de /etc/rc pour mettre /dev en ram >> >> umount -a >/dev/null 2>&1 >> mount -a -t nonfs,vnd >> mount -uw / # root on nfs requires this, others aren't hurt >> rm -f /fastboot # XXX (root now writeable) >> >> echo -n "Making memory filesystems... " >> echo -n "/dev " >> mount_tmpfs tmpfs /dev >> cd /dev && /sbin/MAKEDEV all >> chmod 755 /dev >> echo >> >> Plus envoie des logs de la borne sur le firewall. >> >> >> Quand au firewall (hostname = fw) il offre au réseau interne les >> services suivants : >> - cache DNS >> - serveur DHCP >> - serveur de logs (accepte les logs que de la borne wifi) >> - serveur Web NGINX pour afficher une page d'informations sur comment >> "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour unix >> and co. >> - firewall : PF et AuthPF >> >> PF intercepte toutes les requêtes http et https vers l'extérieur >> et les redirigent vers le firewall : >> >> pass in on $int_if proto tcp from $int_network to ! $int_if port http >> rdr-to $int_if port http >> pass in on $int_if proto tcp from $int_network to ! $int_if port https >> rdr-to $int_if port https >> >> Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf) >> >> if ($host != fw) { >> rewrite ^/(.*)$ http://fw/ permanent; >> } >> >> >> Pour la partie "ouverture" vers l'extérieur : >> 1) les comptes sont créés avec comme shell : /usr/sbin/authpf >> 2) pf.conf avec l'"ancre" authpf >> # Anchor for authpf >> anchor "authpf/*" >> >> 3) /etc/authph/authpf.rules >> int_if = "xl0" >> >> pass in on $inf_if from $user_ip to any >> >> # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus) >> # qui sont positionnées en fin de fichier de conf et qui redirige les >> connexions http et https >> pass in quick on $inf_if proto tcp from $user_ip to any port { http https } >> >> >> Pour conclure, j'ai une installation qui a demandé peut d'investissement, >> qui est assez simple à mettre en place et full openbsd. >> >> Une expérience qu'il me semblait intéressante à partager. >> >> Il manque juste une petite interface web pour créer les comptes utilisateurs >> et ça sera parfait :) >> >> Les commentaires, remarques, suggestions, critiques constructives >> sont les bienvenues. :) >> >> Cordialement, >> -- >> Frédéric >> >> >> >> >> ________________________________ >> French OpenBSD mailing list >> [hidden email] >> http://www.openbsd-france.org/communaute.php >> > > ________________________________ > French OpenBSD mailing list > [hidden email] > http://www.openbsd-france.org/communaute.php > ________________________________ French OpenBSD mailing list [hidden email] http://www.openbsd-france.org/communaute.php |
«
Return to openbsd - France
|
1 view|%1 views
| Free forum by Nabble | Edit this page |