OpenBSD Archive openbsd - France

Retour expérience : Alix bridge + firewall/authpf

classic Classic list List threaded Threaded
8 messages Options
FERRERE Frédéric
Reply | Threaded
Open this post in threaded view
|

Retour expérience : Alix bridge + firewall/authpf

FERRERE Frédéric
Bonsoir,

je vous propose un petit retour d'expérience sur la mise en place
d'une modeste infra dans un cadre associatif.

L'idée de base était de fournir dans 2 bâtiments distincts
un réseau informatique ouvert à tous
mais dont la sortie vers internet n'est autorisée
que pour les utilisateurs "authentifiés".

La connexion ouvert à tous en local permet l'utilisation
en réseau de machines outils et d'imprimantes.

Les utilisateurs sont membres de l'association
et viennent avec leur propre ordinateur.

Les connexions disponibles sont filaires et wifi.

Le tout est piloté par :
- une borne wifi avec OpenBSD 5.5
- un firewall avec OpenBSD 5.4


Pour le wifi, j'ai opté pour un boitier ALIX 2D13
complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92
et une carte MC 256Mo pour le stockage.

La configuration de la borne est de type bridge,
juste un pont vers le firewall.

Pour le réseau, je me suis inspiré de la documentation suivante :
http://www.bsdnow.tv/tutorials/openbsd-router

Là ou ça se corse un peu c'est l'utilisation de la carte MC.
Elle n'a pas trop apprécié une installation classique du FS
Voici à quoi ressemblait le fstab au départ :
318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1

Malheureusement les options softdep et noatime n'ont pas empêché la
carte MC de souffrir :
freeze du système avec des erreurs sur le fs (/dev à priori).
Malheureusement je n'ai pas pensé à garder les messages
d'erreur dans un coin.

En lisant les man/blogs et autres docs, comme
http://www.packetmischief.ca/openbsd-compact-flash-firewall/,
j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs

/etc/fstab
318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
tmpfs /tmp tmpfs rw 0 0
tmpfs /var/tmp tmpfs rw 0 0
tmpfs /var/run tmpfs rw 0 0
tmpfs /var/log tmpfs rw 0 0

Modification de /etc/rc pour mettre /dev en ram

umount -a >/dev/null 2>&1
mount -a -t nonfs,vnd
mount -uw /             # root on nfs requires this, others aren't hurt
rm -f /fastboot         # XXX (root now writeable)

echo -n "Making memory filesystems... "
echo -n "/dev "
mount_tmpfs tmpfs /dev
cd /dev && /sbin/MAKEDEV all
chmod 755 /dev
echo

Plus envoie des logs de la borne sur le firewall.


Quand au firewall (hostname = fw) il offre au réseau interne les
services suivants :
- cache DNS
- serveur DHCP
- serveur de logs (accepte les logs que de la borne wifi)
- serveur Web NGINX pour afficher une page d'informations sur comment
   "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour unix
and co.
- firewall : PF et AuthPF

PF intercepte toutes les requêtes http et https vers l'extérieur
et les redirigent vers le firewall  :

pass in on $int_if proto tcp from $int_network to ! $int_if port http
rdr-to $int_if port http
pass in on $int_if proto tcp from $int_network to ! $int_if port https
rdr-to $int_if port https

Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf)

if ($host != fw) {
                 rewrite  ^/(.*)$  http://fw/ permanent;
}


Pour la partie "ouverture" vers l'extérieur :
1) les comptes sont créés avec comme shell : /usr/sbin/authpf
2) pf.conf avec l'"ancre" authpf
# Anchor for authpf
anchor "authpf/*"

3) /etc/authph/authpf.rules
int_if = "xl0"

pass in on $inf_if from $user_ip to any

# le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus)
# qui sont positionnées en fin de fichier de conf et qui redirige les
connexions http et https
pass in quick on $inf_if proto tcp from $user_ip to any port { http https }


Pour conclure, j'ai une installation qui a demandé peut d'investissement,
qui est assez simple à mettre en place et full openbsd.

Une expérience qu'il me semblait intéressante à partager.

Il manque juste une petite interface web pour créer les comptes utilisateurs
et ça sera parfait :)

Les commentaires, remarques, suggestions, critiques constructives
sont les bienvenues. :)

Cordialement,
--
Frédéric




________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php
jeanfrancois
Reply | Threaded
Open this post in threaded view
|

Re: Retour expérience : Alix bridge + firewall/authpf

jeanfrancois
Merci pour ce partage en effet ; ça pourrait être utile aussi.

Jean-François

Le 26/09/2014 00:15, FERRERE Frédéric a écrit :

> Bonsoir,
>
> je vous propose un petit retour d'expérience sur la mise en place
> d'une modeste infra dans un cadre associatif.
>
> L'idée de base était de fournir dans 2 bâtiments distincts
> un réseau informatique ouvert à tous
> mais dont la sortie vers internet n'est autorisée
> que pour les utilisateurs "authentifiés".
>
> La connexion ouvert à tous en local permet l'utilisation
> en réseau de machines outils et d'imprimantes.
>
> Les utilisateurs sont membres de l'association
> et viennent avec leur propre ordinateur.
>
> Les connexions disponibles sont filaires et wifi.
>
> Le tout est piloté par :
> - une borne wifi avec OpenBSD 5.5
> - un firewall avec OpenBSD 5.4
>
>
> Pour le wifi, j'ai opté pour un boitier ALIX 2D13
> complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92
> et une carte MC 256Mo pour le stockage.
>
> La configuration de la borne est de type bridge,
> juste un pont vers le firewall.
>
> Pour le réseau, je me suis inspiré de la documentation suivante :
> http://www.bsdnow.tv/tutorials/openbsd-router
>
> Là ou ça se corse un peu c'est l'utilisation de la carte MC.
> Elle n'a pas trop apprécié une installation classique du FS
> Voici à quoi ressemblait le fstab au départ :
> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
>
> Malheureusement les options softdep et noatime n'ont pas empêché la
> carte MC de souffrir :
> freeze du système avec des erreurs sur le fs (/dev à priori).
> Malheureusement je n'ai pas pensé à garder les messages
> d'erreur dans un coin.
>
> En lisant les man/blogs et autres docs, comme
> http://www.packetmischief.ca/openbsd-compact-flash-firewall/,
> j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs
>
> /etc/fstab
> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
> tmpfs /tmp tmpfs rw 0 0
> tmpfs /var/tmp tmpfs rw 0 0
> tmpfs /var/run tmpfs rw 0 0
> tmpfs /var/log tmpfs rw 0 0
>
> Modification de /etc/rc pour mettre /dev en ram
>
> umount -a >/dev/null 2>&1
> mount -a -t nonfs,vnd
> mount -uw /             # root on nfs requires this, others aren't hurt
> rm -f /fastboot         # XXX (root now writeable)
>
> echo -n "Making memory filesystems... "
> echo -n "/dev "
> mount_tmpfs tmpfs /dev
> cd /dev && /sbin/MAKEDEV all
> chmod 755 /dev
> echo
>
> Plus envoie des logs de la borne sur le firewall.
>
>
> Quand au firewall (hostname = fw) il offre au réseau interne les
> services suivants :
> - cache DNS
> - serveur DHCP
> - serveur de logs (accepte les logs que de la borne wifi)
> - serveur Web NGINX pour afficher une page d'informations sur comment
>   "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour
> unix and co.
> - firewall : PF et AuthPF
>
> PF intercepte toutes les requêtes http et https vers l'extérieur
> et les redirigent vers le firewall  :
>
> pass in on $int_if proto tcp from $int_network to ! $int_if port http
> rdr-to $int_if port http
> pass in on $int_if proto tcp from $int_network to ! $int_if port https
> rdr-to $int_if port https
>
> Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf)
>
> if ($host != fw) {
>                 rewrite  ^/(.*)$  http://fw/ permanent;
> }
>
>
> Pour la partie "ouverture" vers l'extérieur :
> 1) les comptes sont créés avec comme shell : /usr/sbin/authpf
> 2) pf.conf avec l'"ancre" authpf
> # Anchor for authpf
> anchor "authpf/*"
>
> 3) /etc/authph/authpf.rules
> int_if = "xl0"
>
> pass in on $inf_if from $user_ip to any
>
> # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus)
> # qui sont positionnées en fin de fichier de conf et qui redirige les
> connexions http et https
> pass in quick on $inf_if proto tcp from $user_ip to any port { http
> https }
>
>
> Pour conclure, j'ai une installation qui a demandé peut d'investissement,
> qui est assez simple à mettre en place et full openbsd.
>
> Une expérience qu'il me semblait intéressante à partager.
>
> Il manque juste une petite interface web pour créer les comptes
> utilisateurs
> et ça sera parfait :)
>
> Les commentaires, remarques, suggestions, critiques constructives
> sont les bienvenues. :)
>
> Cordialement,
> --
> Frédéric
>
>
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php
Pierre B.
Reply | Threaded
Open this post in threaded view
|

Re: Retour expérience : Alix bridge + firewall/authpf

Pierre B.
Yop, en effets merci à toi.

Je suis justement en train de jouer avec ces boîtiers Alix et la carte
minipci x2 NIC Gigabits, j'installe pfSense dessus.

Je sais pas si tu as eu ce soucis, mais mes interfaces réseaux sont
détectés en 10BaseT Half-Duplex (on est loin du Gigabit ... :).

Merci quand même du retours.



On 26/09/2014 13:07, Jean-Francois Simon wrote:

> Merci pour ce partage en effet ; ça pourrait être utile aussi.
>
> Jean-François
>
> Le 26/09/2014 00:15, FERRERE Frédéric a écrit :
>> Bonsoir,
>>
>> je vous propose un petit retour d'expérience sur la mise en place
>> d'une modeste infra dans un cadre associatif.
>>
>> L'idée de base était de fournir dans 2 bâtiments distincts
>> un réseau informatique ouvert à tous
>> mais dont la sortie vers internet n'est autorisée
>> que pour les utilisateurs "authentifiés".
>>
>> La connexion ouvert à tous en local permet l'utilisation
>> en réseau de machines outils et d'imprimantes.
>>
>> Les utilisateurs sont membres de l'association
>> et viennent avec leur propre ordinateur.
>>
>> Les connexions disponibles sont filaires et wifi.
>>
>> Le tout est piloté par :
>> - une borne wifi avec OpenBSD 5.5
>> - un firewall avec OpenBSD 5.4
>>
>>
>> Pour le wifi, j'ai opté pour un boitier ALIX 2D13
>> complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92
>> et une carte MC 256Mo pour le stockage.
>>
>> La configuration de la borne est de type bridge,
>> juste un pont vers le firewall.
>>
>> Pour le réseau, je me suis inspiré de la documentation suivante :
>> http://www.bsdnow.tv/tutorials/openbsd-router
>>
>> Là ou ça se corse un peu c'est l'utilisation de la carte MC.
>> Elle n'a pas trop apprécié une installation classique du FS
>> Voici à quoi ressemblait le fstab au départ :
>> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
>>
>> Malheureusement les options softdep et noatime n'ont pas empêché la
>> carte MC de souffrir :
>> freeze du système avec des erreurs sur le fs (/dev à priori).
>> Malheureusement je n'ai pas pensé à garder les messages
>> d'erreur dans un coin.
>>
>> En lisant les man/blogs et autres docs, comme
>> http://www.packetmischief.ca/openbsd-compact-flash-firewall/,
>> j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs
>>
>> /etc/fstab
>> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
>> tmpfs /tmp tmpfs rw 0 0
>> tmpfs /var/tmp tmpfs rw 0 0
>> tmpfs /var/run tmpfs rw 0 0
>> tmpfs /var/log tmpfs rw 0 0
>>
>> Modification de /etc/rc pour mettre /dev en ram
>>
>> umount -a >/dev/null 2>&1
>> mount -a -t nonfs,vnd
>> mount -uw /             # root on nfs requires this, others aren't hurt
>> rm -f /fastboot         # XXX (root now writeable)
>>
>> echo -n "Making memory filesystems... "
>> echo -n "/dev "
>> mount_tmpfs tmpfs /dev
>> cd /dev && /sbin/MAKEDEV all
>> chmod 755 /dev
>> echo
>>
>> Plus envoie des logs de la borne sur le firewall.
>>
>>
>> Quand au firewall (hostname = fw) il offre au réseau interne les
>> services suivants :
>> - cache DNS
>> - serveur DHCP
>> - serveur de logs (accepte les logs que de la borne wifi)
>> - serveur Web NGINX pour afficher une page d'informations sur comment
>>   "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour
>> unix and co.
>> - firewall : PF et AuthPF
>>
>> PF intercepte toutes les requêtes http et https vers l'extérieur
>> et les redirigent vers le firewall  :
>>
>> pass in on $int_if proto tcp from $int_network to ! $int_if port http
>> rdr-to $int_if port http
>> pass in on $int_if proto tcp from $int_network to ! $int_if port https
>> rdr-to $int_if port https
>>
>> Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf)
>>
>> if ($host != fw) {
>>                 rewrite  ^/(.*)$  http://fw/ permanent;
>> }
>>
>>
>> Pour la partie "ouverture" vers l'extérieur :
>> 1) les comptes sont créés avec comme shell : /usr/sbin/authpf
>> 2) pf.conf avec l'"ancre" authpf
>> # Anchor for authpf
>> anchor "authpf/*"
>>
>> 3) /etc/authph/authpf.rules
>> int_if = "xl0"
>>
>> pass in on $inf_if from $user_ip to any
>>
>> # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus)
>> # qui sont positionnées en fin de fichier de conf et qui redirige les
>> connexions http et https
>> pass in quick on $inf_if proto tcp from $user_ip to any port { http
>> https }
>>
>>
>> Pour conclure, j'ai une installation qui a demandé peut d'investissement,
>> qui est assez simple à mettre en place et full openbsd.
>>
>> Une expérience qu'il me semblait intéressante à partager.
>>
>> Il manque juste une petite interface web pour créer les comptes
>> utilisateurs
>> et ça sera parfait :)
>>
>> Les commentaires, remarques, suggestions, critiques constructives
>> sont les bienvenues. :)
>>
>> Cordialement,
>> --
>> Frédéric
>>
>>
>>
>>
>> ________________________________
>> French OpenBSD mailing list
>> [hidden email]
>> http://www.openbsd-france.org/communaute.php
>>
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>

--
Pierre B.
   GPG    : 0x0B694394
   Jabber : [hidden email]

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php
jc1.quebecos
Reply | Threaded
Open this post in threaded view
|

Re: Retour expérience : Alix bridge + firewall/authpf

jc1.quebecos
Le 26/09/2014 15:05, Pierre B. a écrit :
> Yop, en effets merci à toi.
>
> Je suis justement en train de jouer avec ces boîtiers Alix et la carte
> minipci x2 NIC Gigabits, j'installe pfSense dessus.
>
> Je sais pas si tu as eu ce soucis, mais mes interfaces réseaux sont
> détectés en 10BaseT Half-Duplex (on est loin du Gigabit ... :).


A priori c'est du 10/100 et pas du Giga.

Connectivity: 3 Ethernet channels (Via VT6105M 10/100)

http://www.pcengines.ch/alix2d13.htm


>
> Merci quand même du retours.
>
>
>
> On 26/09/2014 13:07, Jean-Francois Simon wrote:
>> Merci pour ce partage en effet ; ça pourrait être utile aussi.
>>
>> Jean-François
>>
>> Le 26/09/2014 00:15, FERRERE Frédéric a écrit :
>>> Bonsoir,
>>>
>>> je vous propose un petit retour d'expérience sur la mise en place
>>> d'une modeste infra dans un cadre associatif.
>>>
>>> L'idée de base était de fournir dans 2 bâtiments distincts
>>> un réseau informatique ouvert à tous
>>> mais dont la sortie vers internet n'est autorisée
>>> que pour les utilisateurs "authentifiés".
>>>
>>> La connexion ouvert à tous en local permet l'utilisation
>>> en réseau de machines outils et d'imprimantes.
>>>
>>> Les utilisateurs sont membres de l'association
>>> et viennent avec leur propre ordinateur.
>>>
>>> Les connexions disponibles sont filaires et wifi.
>>>
>>> Le tout est piloté par :
>>> - une borne wifi avec OpenBSD 5.5
>>> - un firewall avec OpenBSD 5.4
>>>
>>>
>>> Pour le wifi, j'ai opté pour un boitier ALIX 2D13
>>> complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92
>>> et une carte MC 256Mo pour le stockage.
>>>
>>> La configuration de la borne est de type bridge,
>>> juste un pont vers le firewall.
>>>
>>> Pour le réseau, je me suis inspiré de la documentation suivante :
>>> http://www.bsdnow.tv/tutorials/openbsd-router
>>>
>>> Là ou ça se corse un peu c'est l'utilisation de la carte MC.
>>> Elle n'a pas trop apprécié une installation classique du FS
>>> Voici à quoi ressemblait le fstab au départ :
>>> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
>>>
>>> Malheureusement les options softdep et noatime n'ont pas empêché la
>>> carte MC de souffrir :
>>> freeze du système avec des erreurs sur le fs (/dev à priori).
>>> Malheureusement je n'ai pas pensé à garder les messages
>>> d'erreur dans un coin.
>>>
>>> En lisant les man/blogs et autres docs, comme
>>> http://www.packetmischief.ca/openbsd-compact-flash-firewall/,
>>> j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs
>>>
>>> /etc/fstab
>>> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
>>> tmpfs /tmp tmpfs rw 0 0
>>> tmpfs /var/tmp tmpfs rw 0 0
>>> tmpfs /var/run tmpfs rw 0 0
>>> tmpfs /var/log tmpfs rw 0 0
>>>
>>> Modification de /etc/rc pour mettre /dev en ram
>>>
>>> umount -a >/dev/null 2>&1
>>> mount -a -t nonfs,vnd
>>> mount -uw /             # root on nfs requires this, others aren't hurt
>>> rm -f /fastboot         # XXX (root now writeable)
>>>
>>> echo -n "Making memory filesystems... "
>>> echo -n "/dev "
>>> mount_tmpfs tmpfs /dev
>>> cd /dev && /sbin/MAKEDEV all
>>> chmod 755 /dev
>>> echo
>>>
>>> Plus envoie des logs de la borne sur le firewall.
>>>
>>>
>>> Quand au firewall (hostname = fw) il offre au réseau interne les
>>> services suivants :
>>> - cache DNS
>>> - serveur DHCP
>>> - serveur de logs (accepte les logs que de la borne wifi)
>>> - serveur Web NGINX pour afficher une page d'informations sur comment
>>>    "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour
>>> unix and co.
>>> - firewall : PF et AuthPF
>>>
>>> PF intercepte toutes les requêtes http et https vers l'extérieur
>>> et les redirigent vers le firewall  :
>>>
>>> pass in on $int_if proto tcp from $int_network to ! $int_if port http
>>> rdr-to $int_if port http
>>> pass in on $int_if proto tcp from $int_network to ! $int_if port https
>>> rdr-to $int_if port https
>>>
>>> Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf)
>>>
>>> if ($host != fw) {
>>>                  rewrite  ^/(.*)$  http://fw/ permanent;
>>> }
>>>
>>>
>>> Pour la partie "ouverture" vers l'extérieur :
>>> 1) les comptes sont créés avec comme shell : /usr/sbin/authpf
>>> 2) pf.conf avec l'"ancre" authpf
>>> # Anchor for authpf
>>> anchor "authpf/*"
>>>
>>> 3) /etc/authph/authpf.rules
>>> int_if = "xl0"
>>>
>>> pass in on $inf_if from $user_ip to any
>>>
>>> # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus)
>>> # qui sont positionnées en fin de fichier de conf et qui redirige les
>>> connexions http et https
>>> pass in quick on $inf_if proto tcp from $user_ip to any port { http
>>> https }
>>>
>>>
>>> Pour conclure, j'ai une installation qui a demandé peut d'investissement,
>>> qui est assez simple à mettre en place et full openbsd.
>>>
>>> Une expérience qu'il me semblait intéressante à partager.
>>>
>>> Il manque juste une petite interface web pour créer les comptes
>>> utilisateurs
>>> et ça sera parfait :)
>>>
>>> Les commentaires, remarques, suggestions, critiques constructives
>>> sont les bienvenues. :)
>>>
>>> Cordialement,
>>> --
>>> Frédéric
>>>
>>>
>>>
>>>
>>> ________________________________
>>> French OpenBSD mailing list
>>> [hidden email]
>>> http://www.openbsd-france.org/communaute.php
>>>
>>
>>
>> ________________________________
>> French OpenBSD mailing list
>> [hidden email]
>> http://www.openbsd-france.org/communaute.php
>>
>


--

Cordialement,

Jean-Claude aka jc1

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php
Mxher
Reply | Threaded
Open this post in threaded view
|

Re: Retour expérience : Alix bridge + firewall/authpf

Mxher
In reply to this post by FERRERE Frédéric
Le 26/09/2014 00:15, FERRERE Frédéric a écrit :

> Bonsoir,
>
> je vous propose un petit retour d'expérience sur la mise en place
> d'une modeste infra dans un cadre associatif.
>
> ...
>
> Les commentaires, remarques, suggestions, critiques constructives
> sont les bienvenues. :)
>
> Cordialement,
> --
> Frédéric
>
>

Bonsoir Frédéric,

Sympa ce retour d'expérience, merci!

Mxher

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php
Laurent Cheylus
Reply | Threaded
Open this post in threaded view
|

Re: Retour expérience : Alix bridge + firewall/authpf

Laurent Cheylus
In reply to this post by FERRERE Frédéric
Bonsoir,

tout d'abord merci aussi pour cet enrichissant retour d'expérience, bien
détaillé techniquement :).

On Fri, Sep 26, 2014 at 12:15:59AM +0200, FERRERE Frédéric wrote:
(...)

> Là ou ça se corse un peu c'est l'utilisation de la carte MC.
> Elle n'a pas trop apprécié une installation classique du FS
> Voici à quoi ressemblait le fstab au départ :
> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
>
> Malheureusement les options softdep et noatime n'ont pas empêché la
> carte MC de souffrir :
> freeze du système avec des erreurs sur le fs (/dev à priori).
> Malheureusement je n'ai pas pensé à garder les messages
> d'erreur dans un coin.
>
> En lisant les man/blogs et autres docs, comme
> http://www.packetmischief.ca/openbsd-compact-flash-firewall/,
> j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs

J'imagine que tu as parcouru ces sites/projets au cours de tes
recherches mais à titre de rappel, les projets (vieux mais encore
utiles) Flashboot et Flashrd traitent bien ce problème.
Ce sont des ensembles / configs pour builder une distrib spécifique
OpenBSD / FW + autres services avec un device "léger" pour le filesystem
(Compact Flash, SD Card, clé USB...). Y'a des bonnes idées / scripts /
code / config à récuperer dedans au minimum

- Flashboot
http://www.mindrot.org/projects/flashboot/
https://github.com/openbsd/flashboot

- Flashrd
http://www.nmedia.net/flashrd/

++ Laurent

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php
Eric Boudrand-4
Reply | Threaded
Open this post in threaded view
|

Re: Retour expérience : Alix bridge + firewall/authpf

Eric Boudrand-4
In reply to this post by FERRERE Frédéric
Bonjour Frédéric,

Merci pour ce retour d'expérience. Ça m'intéresse. J'ai une Soekris 4511
à transformer en borne Wifi. Juste une question, pour installer OpenBSD
sur la carte MC tu passes par un outil comme Flashrd ou Flashboot
(signalés par Laurent) ?

Merci pour les liens.

A+

Éric



Le vendredi 26 septembre 2014 à 00:15 +0200, FERRERE Frédéric a écrit :

> Bonsoir,
>
> je vous propose un petit retour d'expérience sur la mise en place
> d'une modeste infra dans un cadre associatif.
>
> L'idée de base était de fournir dans 2 bâtiments distincts
> un réseau informatique ouvert à tous
> mais dont la sortie vers internet n'est autorisée
> que pour les utilisateurs "authentifiés".
>
> La connexion ouvert à tous en local permet l'utilisation
> en réseau de machines outils et d'imprimantes.
>
> Les utilisateurs sont membres de l'association
> et viennent avec leur propre ordinateur.
>
> Les connexions disponibles sont filaires et wifi.
>
> Le tout est piloté par :
> - une borne wifi avec OpenBSD 5.5
> - un firewall avec OpenBSD 5.4
>
>
> Pour le wifi, j'ai opté pour un boitier ALIX 2D13
> complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92
> et une carte MC 256Mo pour le stockage.
>
> La configuration de la borne est de type bridge,
> juste un pont vers le firewall.
>
> Pour le réseau, je me suis inspiré de la documentation suivante :
> http://www.bsdnow.tv/tutorials/openbsd-router
>
> Là ou ça se corse un peu c'est l'utilisation de la carte MC.
> Elle n'a pas trop apprécié une installation classique du FS
> Voici à quoi ressemblait le fstab au départ :
> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
>
> Malheureusement les options softdep et noatime n'ont pas empêché la
> carte MC de souffrir :
> freeze du système avec des erreurs sur le fs (/dev à priori).
> Malheureusement je n'ai pas pensé à garder les messages
> d'erreur dans un coin.
>
> En lisant les man/blogs et autres docs, comme
> http://www.packetmischief.ca/openbsd-compact-flash-firewall/,
> j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs
>
> /etc/fstab
> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
> tmpfs /tmp tmpfs rw 0 0
> tmpfs /var/tmp tmpfs rw 0 0
> tmpfs /var/run tmpfs rw 0 0
> tmpfs /var/log tmpfs rw 0 0
>
> Modification de /etc/rc pour mettre /dev en ram
>
> umount -a >/dev/null 2>&1
> mount -a -t nonfs,vnd
> mount -uw /             # root on nfs requires this, others aren't hurt
> rm -f /fastboot         # XXX (root now writeable)
>
> echo -n "Making memory filesystems... "
> echo -n "/dev "
> mount_tmpfs tmpfs /dev
> cd /dev && /sbin/MAKEDEV all
> chmod 755 /dev
> echo
>
> Plus envoie des logs de la borne sur le firewall.
>
>
> Quand au firewall (hostname = fw) il offre au réseau interne les
> services suivants :
> - cache DNS
> - serveur DHCP
> - serveur de logs (accepte les logs que de la borne wifi)
> - serveur Web NGINX pour afficher une page d'informations sur comment
>    "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour unix
> and co.
> - firewall : PF et AuthPF
>
> PF intercepte toutes les requêtes http et https vers l'extérieur
> et les redirigent vers le firewall  :
>
> pass in on $int_if proto tcp from $int_network to ! $int_if port http
> rdr-to $int_if port http
> pass in on $int_if proto tcp from $int_network to ! $int_if port https
> rdr-to $int_if port https
>
> Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf)
>
> if ($host != fw) {
>                  rewrite  ^/(.*)$  http://fw/ permanent;
> }
>
>
> Pour la partie "ouverture" vers l'extérieur :
> 1) les comptes sont créés avec comme shell : /usr/sbin/authpf
> 2) pf.conf avec l'"ancre" authpf
> # Anchor for authpf
> anchor "authpf/*"
>
> 3) /etc/authph/authpf.rules
> int_if = "xl0"
>
> pass in on $inf_if from $user_ip to any
>
> # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus)
> # qui sont positionnées en fin de fichier de conf et qui redirige les
> connexions http et https
> pass in quick on $inf_if proto tcp from $user_ip to any port { http https }
>
>
> Pour conclure, j'ai une installation qui a demandé peut d'investissement,
> qui est assez simple à mettre en place et full openbsd.
>
> Une expérience qu'il me semblait intéressante à partager.
>
> Il manque juste une petite interface web pour créer les comptes utilisateurs
> et ça sera parfait :)
>
> Les commentaires, remarques, suggestions, critiques constructives
> sont les bienvenues. :)
>
> Cordialement,
> --
> Frédéric
>
>
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php
FERRERE Frédéric
Reply | Threaded
Open this post in threaded view
|

Re: Retour expérience : Alix bridge + firewall/authpf

FERRERE Frédéric
Bonsoir Eric,

j'utilise le boot réseau (PXE) des boitiers Alix2d13
et les outils qui vont bien sur le firewall OpenBSD : tftp, dhcp, pxeboot.

http://www.openbsd.org/cgi-bin/man.cgi?query=pxeboot&apropos=0&sec=0&arch=default&manpath=OpenBSD-current

Cordialement,
--
Frédéric

Le 06/10/2014 17:39, Eric Boudrand a écrit :

> Bonjour Frédéric,
>
> Merci pour ce retour d'expérience. Ça m'intéresse. J'ai une Soekris 4511
> à transformer en borne Wifi. Juste une question, pour installer OpenBSD
> sur la carte MC tu passes par un outil comme Flashrd ou Flashboot
> (signalés par Laurent) ?
>
> Merci pour les liens.
>
> A+
>
> Éric
>
>
>
> Le vendredi 26 septembre 2014 à 00:15 +0200, FERRERE Frédéric a écrit :
>> Bonsoir,
>>
>> je vous propose un petit retour d'expérience sur la mise en place
>> d'une modeste infra dans un cadre associatif.
>>
>> L'idée de base était de fournir dans 2 bâtiments distincts
>> un réseau informatique ouvert à tous
>> mais dont la sortie vers internet n'est autorisée
>> que pour les utilisateurs "authentifiés".
>>
>> La connexion ouvert à tous en local permet l'utilisation
>> en réseau de machines outils et d'imprimantes.
>>
>> Les utilisateurs sont membres de l'association
>> et viennent avec leur propre ordinateur.
>>
>> Les connexions disponibles sont filaires et wifi.
>>
>> Le tout est piloté par :
>> - une borne wifi avec OpenBSD 5.5
>> - un firewall avec OpenBSD 5.4
>>
>>
>> Pour le wifi, j'ai opté pour un boitier ALIX 2D13
>> complété par une CARTE MINI PCI WIFI ATHEROS DNMA−92
>> et une carte MC 256Mo pour le stockage.
>>
>> La configuration de la borne est de type bridge,
>> juste un pont vers le firewall.
>>
>> Pour le réseau, je me suis inspiré de la documentation suivante :
>> http://www.bsdnow.tv/tutorials/openbsd-router
>>
>> Là ou ça se corse un peu c'est l'utilisation de la carte MC.
>> Elle n'a pas trop apprécié une installation classique du FS
>> Voici à quoi ressemblait le fstab au départ :
>> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
>>
>> Malheureusement les options softdep et noatime n'ont pas empêché la
>> carte MC de souffrir :
>> freeze du système avec des erreurs sur le fs (/dev à priori).
>> Malheureusement je n'ai pas pensé à garder les messages
>> d'erreur dans un coin.
>>
>> En lisant les man/blogs et autres docs, comme
>> http://www.packetmischief.ca/openbsd-compact-flash-firewall/,
>> j'ai pris le parti de mettre qqs répertoires en RAM via tmpfs
>>
>> /etc/fstab
>> 318e7dde7b63a84b.a / ffs rw,softdep,noatime 1 1
>> tmpfs /tmp tmpfs rw 0 0
>> tmpfs /var/tmp tmpfs rw 0 0
>> tmpfs /var/run tmpfs rw 0 0
>> tmpfs /var/log tmpfs rw 0 0
>>
>> Modification de /etc/rc pour mettre /dev en ram
>>
>> umount -a >/dev/null 2>&1
>> mount -a -t nonfs,vnd
>> mount -uw /             # root on nfs requires this, others aren't hurt
>> rm -f /fastboot         # XXX (root now writeable)
>>
>> echo -n "Making memory filesystems... "
>> echo -n "/dev "
>> mount_tmpfs tmpfs /dev
>> cd /dev && /sbin/MAKEDEV all
>> chmod 755 /dev
>> echo
>>
>> Plus envoie des logs de la borne sur le firewall.
>>
>>
>> Quand au firewall (hostname = fw) il offre au réseau interne les
>> services suivants :
>> - cache DNS
>> - serveur DHCP
>> - serveur de logs (accepte les logs que de la borne wifi)
>> - serveur Web NGINX pour afficher une page d'informations sur comment
>>     "ouvrir" l'accès via putty pour les windows ou ssh/terminal pour unix
>> and co.
>> - firewall : PF et AuthPF
>>
>> PF intercepte toutes les requêtes http et https vers l'extérieur
>> et les redirigent vers le firewall  :
>>
>> pass in on $int_if proto tcp from $int_network to ! $int_if port http
>> rdr-to $int_if port http
>> pass in on $int_if proto tcp from $int_network to ! $int_if port https
>> rdr-to $int_if port https
>>
>> Côté NGINX il faut réécrire l'entête HTTP (/etc/nginx/nginx.conf)
>>
>> if ($host != fw) {
>>                   rewrite  ^/(.*)$  http://fw/ permanent;
>> }
>>
>>
>> Pour la partie "ouverture" vers l'extérieur :
>> 1) les comptes sont créés avec comme shell : /usr/sbin/authpf
>> 2) pf.conf avec l'"ancre" authpf
>> # Anchor for authpf
>> anchor "authpf/*"
>>
>> 3) /etc/authph/authpf.rules
>> int_if = "xl0"
>>
>> pass in on $inf_if from $user_ip to any
>>
>> # le quick sert à "court-circuiter" les règles rdr-to (citées ci-dessus)
>> # qui sont positionnées en fin de fichier de conf et qui redirige les
>> connexions http et https
>> pass in quick on $inf_if proto tcp from $user_ip to any port { http https }
>>
>>
>> Pour conclure, j'ai une installation qui a demandé peut d'investissement,
>> qui est assez simple à mettre en place et full openbsd.
>>
>> Une expérience qu'il me semblait intéressante à partager.
>>
>> Il manque juste une petite interface web pour créer les comptes utilisateurs
>> et ça sera parfait :)
>>
>> Les commentaires, remarques, suggestions, critiques constructives
>> sont les bienvenues. :)
>>
>> Cordialement,
>> --
>> Frédéric
>>
>>
>>
>>
>> ________________________________
>> French OpenBSD mailing list
>> [hidden email]
>> http://www.openbsd-france.org/communaute.php
>>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php
Free forum by Nabble Edit this page