Le L∞p's Wiki - User contributions [en]

User:Dermiste

2020-05-02T14:27:12Z

Dermiste:

'''dermiste''', submersible.

== Contact ==
* Tél : <code>06 ! 28 ! 42 ! 16 ! 86</code>
* Mail : <code>dermiste ! kilob ! yt</code>

[[Category:WikiGnome]]

EtherBridge

2014-08-25T10:23:27Z

Dermiste: /* Problématique & programme */

== Problématique & programme ==

Avec OpenWRT, il est possible de faire un pont WiFi entre deux réseaux filaire ethernet en restant au niveau 2 OSI.

La difficulté vient du fait que, en WiFi, une interface en mode managed ne peut pas se comporter comme un switch (présenter plusieurs adresses MAC). On doit donc passer au niveau 3 OSI et mettre en place des tables de routage, et/ou du NAT.

Mais il y a une autre solution: créer un tunnel entre les deux routeurs, qui passera par le réseau WiFi, et qui exposera de chaque coté une interface TAP, qui sera bridgée avec l'interface ethernet locale.

Cette page décrit comment mettre en place ce genre de configuration en partant de deux Fonera fraîchement flashées avec OpenWRT. Une servira d'Access Point et aura l'IP 192.168.123.1 sur l'interface WiFi, l'autre fera client et aura l'IP 192.168.123.10 sur l'interface WiFi.

Ce montage a été inspiré notamment par cette [http://www.openbsd.org/papers/asiabsdcon2010_vether/index.html présentation de vether(4)]

== Préparation des interfaces WiFi ==

Par défaut, OpenWRT est accessible par l'interface ethernet, a pour adresse IP 192.168.1.1/24, et est accessible par telnet.

telnet 192.168.1.1

On rajoute un "network" qui va contenir l'interface WiFi et sa configuration IP, puis l'interface WiFi proprement dite.

uci set network.etherbridge=interface
uci set network.etherbridge.proto=none
uci set network.etherbridge.proto=static
uci set network.etherbridge.ipaddr=192.168.123.1
uci set network.etherbridge.netmask=255.255.255.0
uci commit network

uci set wireless.radio0.disabled=0
uci set wireless.@wifi-iface[0].network=etherbridge
uci set wireless.@wifi-iface[0].ssid=etherbridge
uci set wireless.@wifi-iface[0].encryption=psk2
uci set wireless.@wifi-iface[0].key='la cle wpa du pont'
uci set wireless.@wifi-iface[0].mode=ap
uci commit wireless

On désactive le serveur DHCP sur l'interface WiFi.

uci set dhcp.etherbridge=dhcp
uci set dhcp.etherbridge.interface=etherbridge
uci set dhcp.etherbridge.ignore=1
uci commit dhcp

On rajoute l'interface WiFi dans la zone "LAN" du firewall.

uci add_list firewall.@zone[0].network=etherbridge
uci commit firewall

/et/init.d/network restart

Pour la fonera qui va faire client il suffit de changer wireless.@wifi-iface[0].mode=ap par wireless.@wifi-iface[0].mode=sta et de renseigner une adresse IP différente dans le même range.

Avant de passer a l'étape suivante, rebootez la Fonera et vérifiez que vous pouvez vous y connecter en telnet en passant par le réseau WiFi "etherbridge".

== Bascule des interfaces filaires ==

On va avoir besoin de télécharger des paquets qui ne sont pas inclus dans l'image de base, il faut donc préparer l'interface filaire à se connecter en DHCP (en supposant que le réseau branché a l'internet utilise DHCP. Sinon il faut utiliser une configuration en ip fixe).

uci set network.lan.proto=dhcp
uci delete network.lan.ipaddr
uci delete network.lan.netmask
uci delete network.lan.ip6assign
uci commit network

/etc/init.d/network reload

Un <code>ping 8.8.8.8</code> suivi d'un <code>ping www.leloop.org</code> permet de s'assurer que lq connexion est bien établie et configurée.

== Installation d'OpenVPN ==

Après avoir, d'une facon ou d'une autre, connecté l'interface filaire de la Fonera à l'internet, on installe OpenVPN, sans la crypto.

opkg update
opkg install openvpn-nossl

Une fois openvpn installé, il est judicieux de débrancher le cable ethernet.

== Configuration d'OpenVPN ==

On configure OpenVPN en mode P2P, car il n'y aura qu'un seul pair. Pas de chiffrement, on se repose sur WPA. Attention: on va bridger tap0 et eth0, donc tap0 va potentiellement recevoir des trames ethernet de 1500 octets. OpenVPN, UDP et IP vont chacun rajouter leur encapsulation, et au final on sera toujours contraint par le MTU 802.11 de 1500 octets. La solution ici est de rajouter un header de fragmentation au niveau UDP, pour que les paquets de eth0 qui sont trop gros soit envoyés dans le tunnel en deux parties, chacune étant, une fois les encapsulations appliquées, de taille inférieure à 1500 octets.

uci set openvpn.etherbridge=openvpn
uci set openvpn.etherbridge.dev=tap0
uci set openvpn.etherbridge.proto=udp
uci set openvpn.etherbridge.remote=192.168.123.10
uci set openvpn.etherbridge.fragment=1200
uci set openvpn.etherbridge.enabled=1
uci commit openvpn

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Si l'opération a réussi, <code>ifconfig tap0</code> devrait renvoyer les informations sur l'interface. Il est possible qu'elle apparaisse inactive, ce n'est pas gênant a ce stade, l'important c'est qu'elle existe.

== Ajout du tunnel au bridge ==

Dernière étape: on met l'interface ethernet et l'interface tunnel dans le même bridge.

uci set network.lan.ifname='eth0 tap0'
uci commit network
/etc/init.d/network reload

Après le reload <code>brctl show</code> devrait montrer les deux interfaces eth0 et tap0 dans le bridge br-lan.

== Déploiement final ==

Vue physique du réseau:

{ Réseau Principal }---------[ Fonera 1 ]--+))) (((+--[ Fonera 2 ]-------{ Extension du réseau }

Vue logique du réseau:

{ Réseau Principal }------[ switch (Fonera 1) ]-------[ switch (Fonera 2) ]----{ Extension du réseau }

A partir de là, la partie "extension du réseau" aura une liaison niveau 2 avec le réseau principal, on pourra lancer un dhclient depuis l'extension et acquérir un bail depuis un serveur situé dans le réseau principal. Attention à configurer correctement le protocole de configuration de l'interface "LAN" pour les adapter au réseau principal.

[[Category:Projets]]
[[Category:OpenWRT]]

EtherBridge

2014-08-24T08:34:55Z

Dermiste: /* Déploiement final */

== Problématique & programme ==

Avec OpenWRT, il est possible de faire un pont WiFi entre deux réseaux filaire ethernet en restant au niveau 2 OSI.

La difficulté vient du fait que, en WiFi, une interface en mode managed ne peut pas se comporter comme un switch (présenter plusieurs adresses MAC). On doit donc passer au niveau 3 OSI et mettre en place des tables de routage, et/ou du NAT.

Mais il y a une autre solution: créer un tunnel entre les deux routeurs, qui passera par le réseau WiFi, et qui exposera de chaque coté une interface TAP, qui sera bridgée avec l'interface ethernet locale.

Cette page décrit comment mettre en place ce genre de configuration en partant de deux Fonera fraîchement flashées avec OpenWRT. Une servira d'Access Point et aura l'IP 192.168.123.1 sur l'interface WiFi, l'autre fera client et aura l'IP 192.168.123.10 sur l'interface WiFi.

== Préparation des interfaces WiFi ==

Par défaut, OpenWRT est accessible par l'interface ethernet, a pour adresse IP 192.168.1.1/24, et est accessible par telnet.

telnet 192.168.1.1

On rajoute un "network" qui va contenir l'interface WiFi et sa configuration IP, puis l'interface WiFi proprement dite.

uci set network.etherbridge=interface
uci set network.etherbridge.proto=none
uci set network.etherbridge.proto=static
uci set network.etherbridge.ipaddr=192.168.123.1
uci set network.etherbridge.netmask=255.255.255.0
uci commit network

uci set wireless.radio0.disabled=0
uci set wireless.@wifi-iface[0].network=etherbridge
uci set wireless.@wifi-iface[0].ssid=etherbridge
uci set wireless.@wifi-iface[0].encryption=psk2
uci set wireless.@wifi-iface[0].key='la cle wpa du pont'
uci set wireless.@wifi-iface[0].mode=ap
uci commit wireless

On désactive le serveur DHCP sur l'interface WiFi.

uci set dhcp.etherbridge=dhcp
uci set dhcp.etherbridge.interface=etherbridge
uci set dhcp.etherbridge.ignore=1
uci commit dhcp

On rajoute l'interface WiFi dans la zone "LAN" du firewall.

uci add_list firewall.@zone[0].network=etherbridge
uci commit firewall

/et/init.d/network restart

Pour la fonera qui va faire client il suffit de changer wireless.@wifi-iface[0].mode=ap par wireless.@wifi-iface[0].mode=sta et de renseigner une adresse IP différente dans le même range.

Avant de passer a l'étape suivante, rebootez la Fonera et vérifiez que vous pouvez vous y connecter en telnet en passant par le réseau WiFi "etherbridge".

== Bascule des interfaces filaires ==

On va avoir besoin de télécharger des paquets qui ne sont pas inclus dans l'image de base, il faut donc préparer l'interface filaire à se connecter en DHCP (en supposant que le réseau branché a l'internet utilise DHCP. Sinon il faut utiliser une configuration en ip fixe).

uci set network.lan.proto=dhcp
uci delete network.lan.ipaddr
uci delete network.lan.netmask
uci delete network.lan.ip6assign
uci commit network

/etc/init.d/network reload

Un <code>ping 8.8.8.8</code> suivi d'un <code>ping www.leloop.org</code> permet de s'assurer que lq connexion est bien établie et configurée.

== Installation d'OpenVPN ==

Après avoir, d'une facon ou d'une autre, connecté l'interface filaire de la Fonera à l'internet, on installe OpenVPN, sans la crypto.

opkg update
opkg install openvpn-nossl

Une fois openvpn installé, il est judicieux de débrancher le cable ethernet.

== Configuration d'OpenVPN ==

On configure OpenVPN en mode P2P, car il n'y aura qu'un seul pair. Pas de chiffrement, on se repose sur WPA. Attention: on va bridger tap0 et eth0, donc tap0 va potentiellement recevoir des trames ethernet de 1500 octets. OpenVPN, UDP et IP vont chacun rajouter leur encapsulation, et au final on sera toujours contraint par le MTU 802.11 de 1500 octets. La solution ici est de rajouter un header de fragmentation au niveau UDP, pour que les paquets de eth0 qui sont trop gros soit envoyés dans le tunnel en deux parties, chacune étant, une fois les encapsulations appliquées, de taille inférieure à 1500 octets.

uci set openvpn.etherbridge=openvpn
uci set openvpn.etherbridge.dev=tap0
uci set openvpn.etherbridge.proto=udp
uci set openvpn.etherbridge.remote=192.168.123.10
uci set openvpn.etherbridge.fragment=1200
uci set openvpn.etherbridge.enabled=1
uci commit openvpn

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Si l'opération a réussi, <code>ifconfig tap0</code> devrait renvoyer les informations sur l'interface. Il est possible qu'elle apparaisse inactive, ce n'est pas gênant a ce stade, l'important c'est qu'elle existe.

== Ajout du tunnel au bridge ==

Dernière étape: on met l'interface ethernet et l'interface tunnel dans le même bridge.

uci set network.lan.ifname='eth0 tap0'
uci commit network
/etc/init.d/network reload

Après le reload <code>brctl show</code> devrait montrer les deux interfaces eth0 et tap0 dans le bridge br-lan.

== Déploiement final ==

Vue physique du réseau:

{ Réseau Principal }---------[ Fonera 1 ]--+))) (((+--[ Fonera 2 ]-------{ Extension du réseau }

Vue logique du réseau:

{ Réseau Principal }------[ switch (Fonera 1) ]-------[ switch (Fonera 2) ]----{ Extension du réseau }

A partir de là, la partie "extension du réseau" aura une liaison niveau 2 avec le réseau principal, on pourra lancer un dhclient depuis l'extension et acquérir un bail depuis un serveur situé dans le réseau principal. Attention à configurer correctement le protocole de configuration de l'interface "LAN" pour les adapter au réseau principal.

[[Category:Projets]]
[[Category:OpenWRT]]

EtherBridge

2014-08-24T08:30:43Z

Dermiste: /* Ajout du tunnel au bridge */

== Problématique & programme ==

Avec OpenWRT, il est possible de faire un pont WiFi entre deux réseaux filaire ethernet en restant au niveau 2 OSI.

La difficulté vient du fait que, en WiFi, une interface en mode managed ne peut pas se comporter comme un switch (présenter plusieurs adresses MAC). On doit donc passer au niveau 3 OSI et mettre en place des tables de routage, et/ou du NAT.

Mais il y a une autre solution: créer un tunnel entre les deux routeurs, qui passera par le réseau WiFi, et qui exposera de chaque coté une interface TAP, qui sera bridgée avec l'interface ethernet locale.

Cette page décrit comment mettre en place ce genre de configuration en partant de deux Fonera fraîchement flashées avec OpenWRT. Une servira d'Access Point et aura l'IP 192.168.123.1 sur l'interface WiFi, l'autre fera client et aura l'IP 192.168.123.10 sur l'interface WiFi.

== Préparation des interfaces WiFi ==

Par défaut, OpenWRT est accessible par l'interface ethernet, a pour adresse IP 192.168.1.1/24, et est accessible par telnet.

telnet 192.168.1.1

On rajoute un "network" qui va contenir l'interface WiFi et sa configuration IP, puis l'interface WiFi proprement dite.

uci set network.etherbridge=interface
uci set network.etherbridge.proto=none
uci set network.etherbridge.proto=static
uci set network.etherbridge.ipaddr=192.168.123.1
uci set network.etherbridge.netmask=255.255.255.0
uci commit network

uci set wireless.radio0.disabled=0
uci set wireless.@wifi-iface[0].network=etherbridge
uci set wireless.@wifi-iface[0].ssid=etherbridge
uci set wireless.@wifi-iface[0].encryption=psk2
uci set wireless.@wifi-iface[0].key='la cle wpa du pont'
uci set wireless.@wifi-iface[0].mode=ap
uci commit wireless

On désactive le serveur DHCP sur l'interface WiFi.

uci set dhcp.etherbridge=dhcp
uci set dhcp.etherbridge.interface=etherbridge
uci set dhcp.etherbridge.ignore=1
uci commit dhcp

On rajoute l'interface WiFi dans la zone "LAN" du firewall.

uci add_list firewall.@zone[0].network=etherbridge
uci commit firewall

/et/init.d/network restart

Pour la fonera qui va faire client il suffit de changer wireless.@wifi-iface[0].mode=ap par wireless.@wifi-iface[0].mode=sta et de renseigner une adresse IP différente dans le même range.

Avant de passer a l'étape suivante, rebootez la Fonera et vérifiez que vous pouvez vous y connecter en telnet en passant par le réseau WiFi "etherbridge".

== Bascule des interfaces filaires ==

On va avoir besoin de télécharger des paquets qui ne sont pas inclus dans l'image de base, il faut donc préparer l'interface filaire à se connecter en DHCP (en supposant que le réseau branché a l'internet utilise DHCP. Sinon il faut utiliser une configuration en ip fixe).

uci set network.lan.proto=dhcp
uci delete network.lan.ipaddr
uci delete network.lan.netmask
uci delete network.lan.ip6assign
uci commit network

/etc/init.d/network reload

Un <code>ping 8.8.8.8</code> suivi d'un <code>ping www.leloop.org</code> permet de s'assurer que lq connexion est bien établie et configurée.

== Installation d'OpenVPN ==

Après avoir, d'une facon ou d'une autre, connecté l'interface filaire de la Fonera à l'internet, on installe OpenVPN, sans la crypto.

opkg update
opkg install openvpn-nossl

Une fois openvpn installé, il est judicieux de débrancher le cable ethernet.

== Configuration d'OpenVPN ==

On configure OpenVPN en mode P2P, car il n'y aura qu'un seul pair. Pas de chiffrement, on se repose sur WPA. Attention: on va bridger tap0 et eth0, donc tap0 va potentiellement recevoir des trames ethernet de 1500 octets. OpenVPN, UDP et IP vont chacun rajouter leur encapsulation, et au final on sera toujours contraint par le MTU 802.11 de 1500 octets. La solution ici est de rajouter un header de fragmentation au niveau UDP, pour que les paquets de eth0 qui sont trop gros soit envoyés dans le tunnel en deux parties, chacune étant, une fois les encapsulations appliquées, de taille inférieure à 1500 octets.

uci set openvpn.etherbridge=openvpn
uci set openvpn.etherbridge.dev=tap0
uci set openvpn.etherbridge.proto=udp
uci set openvpn.etherbridge.remote=192.168.123.10
uci set openvpn.etherbridge.fragment=1200
uci set openvpn.etherbridge.enabled=1
uci commit openvpn

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Si l'opération a réussi, <code>ifconfig tap0</code> devrait renvoyer les informations sur l'interface. Il est possible qu'elle apparaisse inactive, ce n'est pas gênant a ce stade, l'important c'est qu'elle existe.

== Ajout du tunnel au bridge ==

Dernière étape: on met l'interface ethernet et l'interface tunnel dans le même bridge.

uci set network.lan.ifname='eth0 tap0'
uci commit network
/etc/init.d/network reload

Après le reload <code>brctl show</code> devrait montrer les deux interfaces eth0 et tap0 dans le bridge br-lan.

== Déploiement final ==

{ Réseau Principal } ------ [ Fonera 1 ]--+))) (((+--[ Fonera 2 ]----{ Extension du réseau }

A partir de la, la partie "extension du réseau" aura une liaison niveau 2 avec le réseau principal, on pourra lancer un dhclient depuis l'extension et acquérir un bail depuis un serveur situé dans le réseau principal.

[[Category:Projets]]
[[Category:OpenWRT]]

EtherBridge

2014-08-24T08:28:27Z

Dermiste: /* Préparation des interfaces WiFi */

== Problématique & programme ==

Avec OpenWRT, il est possible de faire un pont WiFi entre deux réseaux filaire ethernet en restant au niveau 2 OSI.

La difficulté vient du fait que, en WiFi, une interface en mode managed ne peut pas se comporter comme un switch (présenter plusieurs adresses MAC). On doit donc passer au niveau 3 OSI et mettre en place des tables de routage, et/ou du NAT.

Mais il y a une autre solution: créer un tunnel entre les deux routeurs, qui passera par le réseau WiFi, et qui exposera de chaque coté une interface TAP, qui sera bridgée avec l'interface ethernet locale.

Cette page décrit comment mettre en place ce genre de configuration en partant de deux Fonera fraîchement flashées avec OpenWRT. Une servira d'Access Point et aura l'IP 192.168.123.1 sur l'interface WiFi, l'autre fera client et aura l'IP 192.168.123.10 sur l'interface WiFi.

== Préparation des interfaces WiFi ==

Par défaut, OpenWRT est accessible par l'interface ethernet, a pour adresse IP 192.168.1.1/24, et est accessible par telnet.

telnet 192.168.1.1

On rajoute un "network" qui va contenir l'interface WiFi et sa configuration IP, puis l'interface WiFi proprement dite.

uci set network.etherbridge=interface
uci set network.etherbridge.proto=none
uci set network.etherbridge.proto=static
uci set network.etherbridge.ipaddr=192.168.123.1
uci set network.etherbridge.netmask=255.255.255.0
uci commit network

uci set wireless.radio0.disabled=0
uci set wireless.@wifi-iface[0].network=etherbridge
uci set wireless.@wifi-iface[0].ssid=etherbridge
uci set wireless.@wifi-iface[0].encryption=psk2
uci set wireless.@wifi-iface[0].key='la cle wpa du pont'
uci set wireless.@wifi-iface[0].mode=ap
uci commit wireless

On désactive le serveur DHCP sur l'interface WiFi.

uci set dhcp.etherbridge=dhcp
uci set dhcp.etherbridge.interface=etherbridge
uci set dhcp.etherbridge.ignore=1
uci commit dhcp

On rajoute l'interface WiFi dans la zone "LAN" du firewall.

uci add_list firewall.@zone[0].network=etherbridge
uci commit firewall

/et/init.d/network restart

Pour la fonera qui va faire client il suffit de changer wireless.@wifi-iface[0].mode=ap par wireless.@wifi-iface[0].mode=sta et de renseigner une adresse IP différente dans le même range.

Avant de passer a l'étape suivante, rebootez la Fonera et vérifiez que vous pouvez vous y connecter en telnet en passant par le réseau WiFi "etherbridge".

== Bascule des interfaces filaires ==

On va avoir besoin de télécharger des paquets qui ne sont pas inclus dans l'image de base, il faut donc préparer l'interface filaire à se connecter en DHCP (en supposant que le réseau branché a l'internet utilise DHCP. Sinon il faut utiliser une configuration en ip fixe).

uci set network.lan.proto=dhcp
uci delete network.lan.ipaddr
uci delete network.lan.netmask
uci delete network.lan.ip6assign
uci commit network

/etc/init.d/network reload

Un <code>ping 8.8.8.8</code> suivi d'un <code>ping www.leloop.org</code> permet de s'assurer que lq connexion est bien établie et configurée.

== Installation d'OpenVPN ==

Après avoir, d'une facon ou d'une autre, connecté l'interface filaire de la Fonera à l'internet, on installe OpenVPN, sans la crypto.

opkg update
opkg install openvpn-nossl

Une fois openvpn installé, il est judicieux de débrancher le cable ethernet.

== Configuration d'OpenVPN ==

On configure OpenVPN en mode P2P, car il n'y aura qu'un seul pair. Pas de chiffrement, on se repose sur WPA. Attention: on va bridger tap0 et eth0, donc tap0 va potentiellement recevoir des trames ethernet de 1500 octets. OpenVPN, UDP et IP vont chacun rajouter leur encapsulation, et au final on sera toujours contraint par le MTU 802.11 de 1500 octets. La solution ici est de rajouter un header de fragmentation au niveau UDP, pour que les paquets de eth0 qui sont trop gros soit envoyés dans le tunnel en deux parties, chacune étant, une fois les encapsulations appliquées, de taille inférieure à 1500 octets.

uci set openvpn.etherbridge=openvpn
uci set openvpn.etherbridge.dev=tap0
uci set openvpn.etherbridge.proto=udp
uci set openvpn.etherbridge.remote=192.168.123.10
uci set openvpn.etherbridge.fragment=1200
uci set openvpn.etherbridge.enabled=1
uci commit openvpn

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Si l'opération a réussi, <code>ifconfig tap0</code> devrait renvoyer les informations sur l'interface. Il est possible qu'elle apparaisse inactive, ce n'est pas gênant a ce stade, l'important c'est qu'elle existe.

== Ajout du tunnel au bridge ==

uci set network.lan.ifname='eth0 tap0'
uci commit network
/etc/init.d/network reload

Vérifier avec brctl show

== Déploiement final ==

{ Réseau Principal } ------ [ Fonera 1 ]--+))) (((+--[ Fonera 2 ]----{ Extension du réseau }

A partir de la, la partie "extension du réseau" aura une liaison niveau 2 avec le réseau principal, on pourra lancer un dhclient depuis l'extension et acquérir un bail depuis un serveur situé dans le réseau principal.

[[Category:Projets]]
[[Category:OpenWRT]]

EtherBridge

2014-08-24T08:23:40Z

Dermiste: moar comments

== Problématique & programme ==

Avec OpenWRT, il est possible de faire un pont WiFi entre deux réseaux filaire ethernet en restant au niveau 2 OSI.

La difficulté vient du fait que, en WiFi, une interface en mode managed ne peut pas se comporter comme un switch (présenter plusieurs adresses MAC). On doit donc passer au niveau 3 OSI et mettre en place des tables de routage, et/ou du NAT.

Mais il y a une autre solution: créer un tunnel entre les deux routeurs, qui passera par le réseau WiFi, et qui exposera de chaque coté une interface TAP, qui sera bridgée avec l'interface ethernet locale.

Cette page décrit comment mettre en place ce genre de configuration en partant de deux Fonera fraîchement flashées avec OpenWRT. Une servira d'Access Point et aura l'IP 192.168.123.1 sur l'interface WiFi, l'autre fera client et aura l'IP 192.168.123.10 sur l'interface WiFi.

== Préparation des interfaces WiFi ==

Par défaut, OpenWRT est accessible par l'interface ethernet, a pour adresse IP 192.168.1.1/24, et est accessible par telnet.

telnet 192.168.1.1

uci set network.etherbridge=interface
uci set network.etherbridge.proto=none
uci set network.etherbridge.proto=static
uci set network.etherbridge.ipaddr=192.168.123.1
uci set network.etherbridge.netmask=255.255.255.0
uci commit network

uci set wireless.radio0.disabled=0
uci set wireless.@wifi-iface[0].network=etherbridge
uci set wireless.@wifi-iface[0].ssid=etherbridge
uci set wireless.@wifi-iface[0].encryption=psk2
uci set wireless.@wifi-iface[0].key='la cle wpa du pont'
uci set wireless.@wifi-iface[0].mode=ap
uci commit wireless

uci set dhcp.etherbridge=dhcp
uci set dhcp.etherbridge.interface=etherbridge
uci set dhcp.etherbridge.ignore=1
uci commit dhcp

uci add_list firewall.@zone[0].network=etherbridge
uci commit firewall

/et/init.d/network restart

Pour la fonera qui va faire client il suffit de changer wireless.@wifi-iface[0].mode=ap par wireless.@wifi-iface[0].mode=sta et de renseigner une adresse IP différente.

Avant de passer a l'étape suivante, rebootez la Fonera et vérifiez que vous pouvez vous y connecter en telnet en passant par le réseau WiFi "etherbridge".

== Bascule des interfaces filaires ==

On va avoir besoin de télécharger des paquets qui ne sont pas inclus dans l'image de base, il faut donc préparer l'interface filaire à se connecter en DHCP (en supposant que le réseau branché a l'internet utilise DHCP. Sinon il faut utiliser une configuration en ip fixe).

uci set network.lan.proto=dhcp
uci delete network.lan.ipaddr
uci delete network.lan.netmask
uci delete network.lan.ip6assign
uci commit network

/etc/init.d/network reload

Un <code>ping 8.8.8.8</code> suivi d'un <code>ping www.leloop.org</code> permet de s'assurer que lq connexion est bien établie et configurée.

== Installation d'OpenVPN ==

Après avoir, d'une facon ou d'une autre, connecté l'interface filaire de la Fonera à l'internet, on installe OpenVPN, sans la crypto.

opkg update
opkg install openvpn-nossl

Une fois openvpn installé, il est judicieux de débrancher le cable ethernet.

== Configuration d'OpenVPN ==

On configure OpenVPN en mode P2P, car il n'y aura qu'un seul pair. Pas de chiffrement, on se repose sur WPA. Attention: on va bridger tap0 et eth0, donc tap0 va potentiellement recevoir des trames ethernet de 1500 octets. OpenVPN, UDP et IP vont chacun rajouter leur encapsulation, et au final on sera toujours contraint par le MTU 802.11 de 1500 octets. La solution ici est de rajouter un header de fragmentation au niveau UDP, pour que les paquets de eth0 qui sont trop gros soit envoyés dans le tunnel en deux parties, chacune étant, une fois les encapsulations appliquées, de taille inférieure à 1500 octets.

uci set openvpn.etherbridge=openvpn
uci set openvpn.etherbridge.dev=tap0
uci set openvpn.etherbridge.proto=udp
uci set openvpn.etherbridge.remote=192.168.123.10
uci set openvpn.etherbridge.fragment=1200
uci set openvpn.etherbridge.enabled=1
uci commit openvpn

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Si l'opération a réussi, <code>ifconfig tap0</code> devrait renvoyer les informations sur l'interface. Il est possible qu'elle apparaisse inactive, ce n'est pas gênant a ce stade, l'important c'est qu'elle existe.

== Ajout du tunnel au bridge ==

uci set network.lan.ifname='eth0 tap0'
uci commit network
/etc/init.d/network reload

Vérifier avec brctl show

== Déploiement final ==

{ Réseau Principal } ------ [ Fonera 1 ]--+))) (((+--[ Fonera 2 ]----{ Extension du réseau }

A partir de la, la partie "extension du réseau" aura une liaison niveau 2 avec le réseau principal, on pourra lancer un dhclient depuis l'extension et acquérir un bail depuis un serveur situé dans le réseau principal.

[[Category:Projets]]
[[Category:OpenWRT]]

EtherBridge

2014-08-24T08:19:50Z

Dermiste: moar comments

== Problématique & programme ==

Avec OpenWRT, il est possible de faire un pont WiFi entre deux réseaux filaire ethernet en restant au niveau 2 OSI.

La difficulté vient du fait que, en WiFi, une interface en mode managed ne peut pas se comporter comme un switch (présenter plusieurs adresses MAC). On doit donc passer au niveau 3 OSI et mettre en place des tables de routage, et/ou du NAT.

Mais il y a une autre solution: créer un tunnel entre les deux routeurs, qui passera par le réseau WiFi, et qui exposera de chaque coté une interface TAP, qui sera bridgée avec l'interface ethernet locale.

Cette page décrit comment mettre en place ce genre de configuration en partant de deux Fonera fraîchement flashées avec OpenWRT. Une servira d'Access Point et aura l'IP 192.168.123.1 sur l'interface WiFi, l'autre fera client et aura l'IP 192.168.123.10 sur l'interface WiFi.

== Préparation des interfaces WiFi ==

Par défaut, OpenWRT est accessible par l'interface ethernet, a pour adresse IP 192.168.1.1/24, et est accessible par telnet.

telnet 192.168.1.1

uci set network.etherbridge=interface
uci set network.etherbridge.proto=none
uci set network.etherbridge.proto=static
uci set network.etherbridge.ipaddr=192.168.123.1
uci set network.etherbridge.netmask=255.255.255.0
uci commit network

uci set wireless.radio0.disabled=0
uci set wireless.@wifi-iface[0].network=etherbridge
uci set wireless.@wifi-iface[0].ssid=etherbridge
uci set wireless.@wifi-iface[0].encryption=psk2
uci set wireless.@wifi-iface[0].key='la cle wpa du pont'
uci set wireless.@wifi-iface[0].mode=ap
uci commit wireless

uci set dhcp.etherbridge=dhcp
uci set dhcp.etherbridge.interface=etherbridge
uci set dhcp.etherbridge.ignore=1
uci commit dhcp

uci add_list firewall.@zone[0].network=etherbridge
uci commit firewall

/et/init.d/network restart

Pour la fonera qui va faire client il suffit de changer wireless.@wifi-iface[0].mode=ap par wireless.@wifi-iface[0].mode=sta et de renseigner une adresse IP différente.

Avant de passer a l'étape suivante, rebootez la Fonera et vérifiez que vous pouvez vous y connecter en telnet en passant par le réseau WiFi "etherbridge".

== Bascule des interfaces filaires ==

uci set network.lan.proto=dhcp
uci delete network.lan.ipaddr
uci delete network.lan.netmask
uci delete network.lan.ip6assign
uci commit network

/etc/init.d/network reload

== Installation d'OpenVPN ==

Après avoir, d'une facon ou d'une autre, connecté l'interface filaire de la Fonera à l'internet, on installe OpenVPN, sans la crypto.

opkg update
opkg install openvpn-nossl

Une fois openvpn installé, il est judicieux de débrancher le cable ethernet.

== Configuration d'OpenVPN ==

On configure OpenVPN en mode P2P, car il n'y aura qu'un seul pair. Pas de chiffrement, on se repose sur WPA. Attention: on va bridger tap0 et eth0, donc tap0 va potentiellement recevoir des trames ethernet de 1500 octets. OpenVPN, UDP et IP vont chacun rajouter leur encapsulation, et au final on sera toujours contraint par le MTU 802.11 de 1500 octets. La solution ici est de rajouter un header de fragmentation au niveau UDP, pour que les paquets de eth0 qui sont trop gros soit envoyés dans le tunnel en deux parties, chacune étant, une fois les encapsulations appliquées, de taille inférieure à 1500 octets.

uci set openvpn.etherbridge=openvpn
uci set openvpn.etherbridge.dev=tap0
uci set openvpn.etherbridge.proto=udp
uci set openvpn.etherbridge.remote=192.168.123.10
uci set openvpn.etherbridge.fragment=1200
uci set openvpn.etherbridge.enabled=1
uci commit openvpn

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Si l'opération a réussi, <code>ifconfig tap0</code> devrait renvoyer les informations sur l'interface. Il est possible qu'elle apparaisse inactive, ce n'est pas gênant a ce stade, l'important c'est qu'elle existe.

== Ajout du tunnel au bridge ==

uci set network.lan.ifname='eth0 tap0'
uci commit network
/etc/init.d/network reload

Vérifier avec brctl show

== Déploiement final ==

{ Réseau Principal } ------ [ Fonera 1 ]--+))) (((+--[ Fonera 2 ]----{ Extension du réseau }

A partir de la, la partie "extension du réseau" aura une liaison niveau 2 avec le réseau principal, on pourra lancer un dhclient depuis l'extension et acquérir un bail depuis un serveur situé dans le réseau principal.

[[Category:Projets]]
[[Category:OpenWRT]]

EtherBridge

2014-08-24T08:17:59Z

Dermiste: /* Configuration d'OpenVPN */

== Problématique & programme ==

Avec OpenWRT, il est possible de faire un pont WiFi entre deux réseaux filaire ethernet en restant au niveau 2 OSI.

La difficulté vient du fait que, en WiFi, une interface en mode managed ne peut pas se comporter comme un switch (présenter plusieurs adresses MAC). On doit donc passer au niveau 3 OSI et mettre en place des tables de routage, et/ou du NAT.

Mais il y a une autre solution: créer un tunnel entre les deux routeurs, qui passera par le réseau WiFi, et qui exposera de chaque coté une interface TAP, qui sera bridgée avec l'interface ethernet locale.

Cette page décrit comment mettre en place ce genre de configuration en partant de deux Fonera fraîchement flashées avec OpenWRT. Une servira d'Access Point et aura l'IP 192.168.123.1 sur l'interface WiFi, l'autre fera client et aura l'IP 192.168.123.10 sur l'interface WiFi.

== Préparation des interfaces WiFi ==

Par défaut, OpenWRT est accessible par l'interface ethernet, a pour adresse IP 192.168.1.1/24, et est accessible par telnet.

telnet 192.168.1.1

uci set network.etherbridge=interface
uci set network.etherbridge.proto=none
uci set network.etherbridge.proto=static
uci set network.etherbridge.ipaddr=192.168.123.1
uci set network.etherbridge.netmask=255.255.255.0
uci commit network

uci set wireless.radio0.disabled=0
uci set wireless.@wifi-iface[0].network=etherbridge
uci set wireless.@wifi-iface[0].ssid=etherbridge
uci set wireless.@wifi-iface[0].encryption=psk2
uci set wireless.@wifi-iface[0].key='la cle wpa du pont'
uci set wireless.@wifi-iface[0].mode=ap
uci commit wireless

uci set dhcp.etherbridge=dhcp
uci set dhcp.etherbridge.interface=etherbridge
uci set dhcp.etherbridge.ignore=1
uci commit dhcp

uci add_list firewall.@zone[0].network=etherbridge
uci commit firewall

/et/init.d/network restart

Pour la fonera qui va faire client il suffit de changer wireless.@wifi-iface[0].mode=ap par wireless.@wifi-iface[0].mode=sta et de renseigner une adresse IP différente.

Avant de passer a l'étape suivante, rebootez la Fonera et vérifiez que vous pouvez vous y connecter en telnet en passant par le réseau WiFi "etherbridge".

== Bascule des interfaces filaires ==

uci set network.lan.proto=dhcp
uci delete network.lan.ipaddr
uci delete network.lan.netmask
uci delete network.lan.ip6assign
uci commit network

/etc/init.d/network reload

== Installation d'OpenVPN ==

opkg update
opkg install openvpn-nossl

Une fois openvpn installé, il est judicieux de débrancher le cable ethernet.

== Configuration d'OpenVPN ==

On configure OpenVPN en mode P2P, car il n'y aura qu'un seul pair. Pas de chiffrement, on se repose sur WPA. Attention: on va bridger tap0 et eth0, donc tap0 va potentiellement recevoir des trames ethernet de 1500 octets. OpenVPN, UDP et IP vont chacun rajouter leur encapsulation, et au final on sera toujours contraint par le MTU 802.11 de 1500 octets. La solution ici est de rajouter un header de fragmentation au niveau UDP, pour que les paquets de eth0 qui sont trop gros soit envoyés dans le tunnel en deux parties, chacune étant, une fois les encapsulations appliquées, de taille inférieure à 1500 octets.

uci set openvpn.etherbridge=openvpn
uci set openvpn.etherbridge.dev=tap0
uci set openvpn.etherbridge.proto=udp
uci set openvpn.etherbridge.remote=192.168.123.10
uci set openvpn.etherbridge.fragment=1200
uci set openvpn.etherbridge.enabled=1
uci commit openvpn

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Si l'opération a réussi, <code>ifconfig tap0</code> devrait renvoyer les informations sur l'interface. Il est possible qu'elle apparaisse inactive, ce n'est pas gênant a ce stade, l'important c'est qu'elle existe.

== Ajout du tunnel au bridge ==

uci set network.lan.ifname='eth0 tap0'
uci commit network
/etc/init.d/network reload

Vérifier avec brctl show

== Déploiement final ==

{ Réseau Principal } ------ [ Fonera 1 ]--+))) (((+--[ Fonera 2 ]----{ Extension du réseau }

A partir de la, la partie "extension du réseau" aura une liaison niveau 2 avec le réseau principal, on pourra lancer un dhclient depuis l'extension et acquérir un bail depuis un serveur situé dans le réseau principal.

[[Category:Projets]]
[[Category:OpenWRT]]

EtherBridge

2014-08-24T01:50:26Z

Dermiste: Created page with "== Problématique & programme == Avec OpenWRT, il est possible de faire un pont WiFi entre deux réseaux filaire ethernet en restant au niveau 2 OSI. La difficulté vient du..."

Shakirail

2014-08-23T13:31:54Z

Dermiste: /* Réseau */

Le '''Shakirail''' est un squat du 18e arrondissement, occupé par le collectif Curry-Vavart. Le Loop y a donné quelques coups de main, pour la mise en place d'une connexion internet ou à l'occasion de copyparties.

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web Shakirail : http://shakirail.blogspot.fr/
* Site web Curry Vavart : http://www.curry-vavart.com/

== Contact ==

* [[User:dermiste|dermiste]] a pris les choses en main sur place.

== Opportunités ==

=== Bibliothèque ===

Le Shakirail dispose d'une belle bibliothèque, et son pendant numérique est en cours de mise en place (ainsi que la documentation du projet).

{{Voir|http://wiki.shakirail.taz/}}
{{Voir aussi|un poil de doc [[FreeNAS dans un jail]].}}

=== Copy party ===

[http://12bdprod.free.fr/ 12BDProd], qui a un point de présence au Shakirail avec le kino et la bibliothèque, organise des copy parties. Pour l'instant aucune R&D n'a été faite ni sur le stockage, ni sur la diffusion, ni sur le dépot, ni sur le tri.

=== Illumination WiFi ===

De grandes façades d'immeubles font face au Shakirail, avec une bonne antenne on doit pouvoir les arroser et mettre ainsi les voisins en contact direct avec le lieu via par exemple une radio.

== Réseau ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli : les réseaux ouverts en WEP avoisinants.

=== Uplink ===

L'uplink est fourni par un tp-link wr703n flashé avec [[:Category:OpenWRT|OpenWRT]] BackFire. Il est équipé d'un pigtail soudé en suivant ces [https://app.box.com/s/cispknq8b9zgog8k5vxn instructions] (voir aussi [http://blog.eikeland.se/2012/09/15/better-wr703n-antenna-mod/ ces instructions]). Le pigtail est branché en direct sur une cantenna "Granarom" (voir [http://www.wikarekare.org/Antenna/WaveguideCan.html dimensions]). La cantenna est placée au foyer d'une parabole satellite de 85cm, et la parabole est montée sur la facade du batiment rouge.

Le wr703n est accessible en SSH et via l'interface web luci. Le mot de passe est le mot de passe root standard du shakirail.

Il n'y a pas encore de dispositif de reconnexion automatique.

=== LAN ===

Le wr703n sert des baux DHCP sur le LAN dans la plage 192.168.72.0/24. L'IP du wr703n est 192.168.72.1.

[[Category:Squat]] [[Category:OpenWRT]]

User:Dermiste

2014-03-13T09:44:08Z

Dermiste: /* Contact */

'''dermiste''', submersible.

== Contact ==
* Tél : <code>06 ! 28 ! 42 ! 16 ! 86</code>
* Mail : <code>dermiste ! kilob ! yt</code>

== Accounting ==

=== adduser ===

adduser --shell /bin/bash dermiste

=== GPG ===

* type: DSA-3072
* id: 24785FAB
* fingerprint: 01B0 23B4 A812 BBF6 BA8A 1E4B 9A85 AAE6 2478 5FAB

=== SSH ===

ssh-dss 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 dermiste@smeagol

[[Category:WikiGnome]]

GPG

2013-04-04T15:01:39Z

Dermiste: Argumentation du SAYNUL

{{Brouillon}}
Cette page se propose de regrouper quelques informations pratiques pour '''GnuPG''', fortement axée sur le chiffrement des mails bien qu'on puisse utiliser GPG pour signer et/ou chiffrer tout type de document. Pour une vue d'ensemble, suivez le lapin blanc en partant de la page [[wikipedia:fr:GNU_Privacy_Guard|GnuPG sur Wikipedia]].

Il n'est pas question de répliquer la tonne de tutoriels et d'informations qu'on peut trouver sur le net, le but à l'origine est de traduire en français le processus de renouvellement d'une clé considérée comme faible<ref>https://we.riseup.net/alster/openpgp-dsa1-key-rollover</ref>. L'ajout de quelques bonnes pratiques<ref>https://we.riseup.net/riseuplabs+paow/openpgp-best-practices</ref> n'est qu'un accident.
[[File:GnuPG logo.png|right]]
== Prérequis ==

* Être sous Linux. Pour Windows, utilisez [https://www.gpg4win.org GPG4Win] ; pour MacOS, GPGMail dans Mail.app. Si vous avez besoin d'aide sous votre OS payant et privateur, je vous invite à contacter le support consommateur, question de cohérence.
* GnuPG dans une version récente (supérieure à 1.4.10, voir <code>gpg --version</code>)
* Thunderbird 3.x et Enigmail 1.0.x, ou versions supérieures.

== Configuration ==

Avant toute chose, modifiez votre configuration.

Le SHA1 et le MD5 sont des faibles. On leur préfère le SHA256, voire SHA512. Ajoutez ça en bas de votre configuration GPG dans {{fichier|~/.gnupg/gpg.conf}} :

personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed

Pour ma part, j'utilise SHA512, soyons fous.

=== Autres options intéressantes ===

==== SSL ====

Une couche de SSL ne fait pas de mal, pour éviter qu'on puisse dresser la liste de vos contacts en sniffant vos échanges de clés avec les serveurs de clés.

{{Voir|https://we.riseup.net/riseuplabs+paow/openpgp-best-practices#consider-making-your-default-keyserver-use-a-keyse}}

Pour ma part, j'ai pas encore creusé ça, j'ai pas d'amis.

[[File:XKCD-1181-pgp.png|right|If you want to be extra safe, check that there's a big block of jumbled characters at the bottom.]]
==== ID long ====

Par défaut une clé est représentée par un ID court :

AA11BB22CC33

Mais il est possible de fabriquer une clé dont l'ID court est le même. On devrait donc utiliser un ID long :

keyid-format long
(ou)
keyid-format 0xlong

Ainsi, GPG présentera les IDs sous leur forme longue :

AA11BB22CC33DD44
(ou)
0xAA11BB22CC33DD44

==== env ====

Au lieu de taper manuellement l'ID de ma clé, je préfère définir une variable d'environnement dans {{fichier|~/.bashrc}} :

export GPGKEY=0xAA11BB22CC33DD44

== Créer une clé GPG ==

=== En ligne de commande ===

Vous pouvez suivre [http://cyphercat.eu/term_gpg.php ce tutoriel] très accessible, auquel j'ajouterai quelques nuances :

* DSA est très sensible à la qualité de l'aléa généré. A moins de savoir ce que vous faites et de connaître précisément votre système, utilisez RSA (<code>RSA et RSA</code> pour signer et chiffrer)
* Choisissez une longueur de clé la plus forte possible (4096 bits). 1024 c'est trop peu, 2048 c'est bien ''aujourd'hui'' mais dans dix ans...
* Expiration : je préfère l'idée d'une clé qui expire. Si vous en perdez le contrôle et que vous ne pouvez pas la révoquer, c'est une sécurité supplémentaire. De plus, le fait de renouveler votre clé régulièrement montre aux autres que vous l'utilisez toujours et que vous en avez toujours le contrôle.

=== Avec Enigmail ===

{{Voir|Reportez-vous à la section [[GPG#Avec_Enigmail_2|'''Génération d'une nouvelle paire de clé avec Enigmail''']].}}

== Utilisation avec Thunderbird et Enigmail ==

Un tutoriel très accessible est disponible sur http://cyphercat.eu/tuto_enigmail.php.

Cependant, histoire de conserver une bonne entente entre la version de Thunderbird et celle d'Enigmail (et aussi pour se faciliter la vie), installez Enigmail de préférence à l'aide de votre gestionnaire de paquets. Sous Debian par exemple, on utilisera le paquet {{deb|enigmail}}. Quelle audace.

== Vérifier sa clé ==

Même si votre clé n'est pas compromise ou perdue, il y a plein de raisons de devoir renouveler sa clé.

=== OpenPGPv4 ===

La commande suivante permet de vérifier que vous utilisez bien une clé respectant le format v4 :

gpg --export-options export-minimal --export $GPGKEY | gpg --list-packets | grep version

Si vous voyez de la v3, renouvelez votre clé.

=== DSA-1 ===

Les clés en DSA 1024 bits ont été une référence il fut un temps, mais aujourd'hui on considère ces clés comme faibles.

gpg --list-secret-keys | grep 'sec.*1024D'

Si vous voyez quelque chose, vous devez renouveler votre clé. À noter que <code>1024D</code> n'est pas le seul point significatif, mais le reste des vérifications devrait (in)valider tous les cas de figure.

La commande suivante devrait lister les clés à renouveler, y compris les clés révoquées ou expirées :

gpg --list-secret-keys --with-colons | awk -F : '{ if ( $1=="sec" && $3=="1024" && $4=="17" ) print $5 }'

=== Algorithme de clé ===

Les clés devraient utilise DSA-2 ou, mieux encore, RSA :

gpg --export-options export-minimal --export $GPGKEY | gpg --list-packets | grep -A2 '^:public key packet:$'| grep algo

Si vous voyez <code>algo 1</code> vous utilisez RSA,

Si vous voyez <code>algo 17</code> alors vous utilisez DSA et il faut vérifier que la longueur de clé est supérieure à 1024, dans le cas contraire vous n'utilisez pas DSA-2 et vous devez renouveler votre clé.

<code>algo 19</code> correspond à EDCSA, <code>algo 18</code> à ECC ; pour ces deux algorithmes la vérification de la longueur de clé qui suit n'est pas appropriée. Ce qui n'en fait pas un critère moins pertinent, mais si vous vous trimbalez un de ces algos, on peut considérer que vous savez ce que vous faites.

=== Longueur de clé ===

Les clés devraient faire 2048 bits ou plus (le plus c'est le mieux) :

gpg --export-options export-minimal --export $GPGKEY | gpg --list-packets | grep -A2 'public key'| grep 'pkey\[0\]:'

=== Auto-signatures avec MD5 ou SHA1 ===

gpg --export-options export-minimal --export $GPGKEY | gpg --list-packets | grep -A 2 signature|grep 'digest algo 1,'

Si vous voyez un résultat <code>algo 1</code> alors vous utilisez MD5, si c'est <code>algo 2</code> vous utilisez SHA1 ; dans les deux cas vous devez renouveler votre clé.

=== Algorithmes ===

On devrait avoir la préférence pour tout algorithme de la famille SHA-2 avant MD5 et SHA1 :

gpg --export-options export-minimal --export $GPGKEY | gpg --list-packets | grep 'pref-hash-algos'

Si vous voyez 3, 2 ou 1 avant 11, 10, 9 ou 8, alors vous préférez des algorithmes de crevette et vous devez renouveler votre clé.

== Renouveler sa clé ==

Tout ça pour en arriver là, allez hop hop hop on s'y met.

==== Modification de la configuration ====

Appliquez les modifications listées en début de page, au minimum ceci dans {{fichier|~/.gnupg/gpg.conf}} :

personal-digest-preferences SHA256
cert-digest-algo SHA256
default-préférence-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed

=== Génération d'une nouvelle clé ===

==== Avec Enigmail ====

* Dans le menu <code>OpenGPG</code>, sélectionnez <code>Key Management</code>. Une fenêtre apparaît !
* Dans le menu <code>Generate</code> sélectionnez <code>Generate OpenGPG Key</code>. Une nouvelle fenêtre apparaît !
* Sélectionnez l'identité Thunderbird pour lequel vous voulez générer une nouvelle clé pour la renouveler.
* Cochez la case <code>Use generated key for the selected identity</code>.
* Décochez la case <code>No passphrase</code>. Entrez une phrase de passe forte (genre majuscules/minuscules/ponctuation, de 16 caractères minimum, la routine quoi).
* Ajoutez un commentaire si vous le voulez, mais faites court.
* Sélectionnez une expiration (<code>Key Expiry</code>) de 2 ans ou moins.
* Cliquez sur l'onglet <code>Advanced</code> et choisissez une longueur de clé d'au moins 2048 bits. 4096 c'est top, à défaut de pouvoir faire plus grand. Dans cette même fenêtre, sélectionnez le type de clé <code>RSA</code>.
* Cliquez le bouton <code>Generate Key</code> et vérifiez que les informations sont bien celles attendues.
* Attendez la fin de la génération de la clé. Vous pouvez accélérer le processus en faisant turbiner la machine : lancez deux DivX, téléchargez Internet, jouez du piano dans un éditeur de texte, bref, faites du bruit powpowpow.
* Lorsque ça vous est demandé, générez un certificat de révocation, et sauvegardez-le en sécurité '''maintenant''' (faites-le, vraiment). Une fois que le certificat de révocation est enregistré, la fenêtre se ferme et vous voilà de retour sur la fenêtre <code>OpenGPG Key Management</code>. Vous pouvez chercher l'identité Thunderbird concernée et inspecter votre nouvelle clé en double-cliquant dessus.
* Notez l'empreinte (<code>Fingerprint</code>).
* Si vous voulez ajouter d'autres identités Thunderbird à cette clé, dans la fenêtre <code>Key Properties</code> cliquez sur <code>Select Action</code>, puis <code>Manage User IDs</code>. Cliquez ensuite sur <code>Add</code>, entrez votre nom et adresse, puis confirmez. Sélectionnez ensuite l'identité que vous voulez être l'identité principale de la clé, puis cliquez sur <code>Set Primary</code>.
* Vous pouvez fermer la fenêtre, ouf !

==== En ligne de commande ====

* Tapez la commande <code>gpg --gen-key</code>.
* Sélectionnez une clé de type <code>RSA and RSA</code>.
* Sélectionnez une longueur de clé d'au moins 2048 bits. 4096 c'est top, à défaut de pouvoir faire plus grand.
* Sélectionnez une expiration (<code>Key Expiry</code>) de 2 ans ou moins.
* Entrez votre nom, tel que les gens le verront.
* Entrez l'adresse mail à lier avec la clé que vous êtes en train de générer.
* Ajoutez un commentaire si vous le voulez, mais faites court.
* À ce stade vous pouvez corriger les données entrées si besoin ; une fois que tout est correct, confirmez.
* Entrez une phrase de passe forte (genre majuscules/minuscules/ponctuation, de 16 caractères minimum, la routine quoi).
* Attendez la fin de la génération de la clé. Vous pouvez accélérer le processus en faisant turbiner la machine : lancez deux DivX, téléchargez Internet, jouez du piano dans un éditeur de texte, bref, faites du bruit powpowpow.
* Notez l'ID de la clé que vous venez de générer.
* Générez un certificat de révocation (remplacez <code><Key ID></code> par l'ID que vous venez de noter, bien sûr):
gpg --output "<Key ID>_rev.asc" --gen-revoke <Key ID>
* Confirmez que vous voulez générer un certificat de révocation. La raison 1 (clé compromise) fera l'affaire.
* Le certificat de révocation a été créé avec un nom finissant par <code>_rev.asc</code>. Suivez les instructions et et sauvegardez-le en sécurité '''maintenant''' (faites-le, vraiment).
* Si vous voulez ajouter d'autres adresses à cette clé, tapez la commande suivante et suivez les instructions :
gpg --edit-key <Key ID> adduid

=== Signer la nouvelle clé avec l'ancienne clé ===

Il faut montrer aux gens que cette nouvelle clé est digne de confiance, sinon pour eux c'est une clé comme une autre. Certes elle a bien la bonne adresse mail, et vous le leur direz par mail ou autre moyen ; mais rien ne prouve qu'il ne s'agit pas d'un imposteur. En signant la nouvelle clé au moyen de l'ancienne, vous donnez une indication ''supplémentaire'' de la validité de la nouvelle clé.

Avec Enigmail :

* Dans le menu <code>OpenGPG</code>, sélectionnez <code>Key Management</code>. Une fenêtre apparaît !
* Cherchez votre nouvelle clé (en entrant son ID dans le champ <code>Search for:</code>), faites un clic droit dessus et sélectionnez <code>Sign Key</code>. Une nouvelle fenêtre apparaît.
* Vérifiez qu'il s'agit bien de la nouvelle clé, à l'aide de l'empreinte que vous avez note plus haut.
* Dans <code>Key for signing</code>, sélectionnez votre ancienne clé. Vérifiez que vous sélectionnez bien ici l'ancienne clé ! (ça va vous suivez toujours ?)
* On vous demande à quel point vous faites confiance à la clé que vous voulez signer (la nouvelle), sélectionnez <code>I have done very careful checking</code>, car bien sûr vous avez bien vérifié, à l'aide de l'empreinte, qu'il s'agit bien de la bonne clé.
* Ne cochez PAS la case <code>Local Signature</code>, sinon personne ne verra la signature, ce qui serait ballot, admettez.
* Cliquez sur <code>OK</code> et entrez la phrase de passe de l'ancienne clé.
* De retour dans la première fenêtre, vous pouvez vérifier que la signature a bien été effectuée en cliquant droit dessus puis en sélectionnant <code>View Signatures</code>.

En ligne de commande :

gpg -u <ID de l'ancienne clé> --edit-key <ID de la nouvelle clé> tsign

* Vérifiez bien que vous vous apprêtez à signer la nouvelle clé au moyen de l'ancienne clé, en vérifiant les IDs ''et'' les empreintes.
* On vous demande à quel point vous faites confiance à la clé que vous voulez signer (la nouvelle), sélectionnez <code>Full Trust</code>, car bien sûr vous avez bien vérifié, à l'aide de l'empreinte, qu'il s'agit bien de la bonne clé.
* Confirmez et entrez votre phrase de passe (celle de l'ancienne clé, suivez un peu quoi enfin).

=== Publier la nouvelle clé ===

Pour que les gens puissent accéder à votre nouvelle clé, il est temps de la publier sur un serveur de clés.

Avec Enigmail :

* Dans le menu <code>OpenGPG</code>, sélectionnez <code>Key Management</code>. Une fenêtre apparaît ! (ça devient lassant à force)
* Cherchez votre nouvelle clé, vérifiez qu'il s'agit bien de la nouvelle clé.
* Cliquez droit dessus, puis sélectionnez <code>Upload Public Keys to Keyserver</code>. Choissisez votre serveur de clé préféré, ou laissez Enigmail utiliser le serveur par défaut.

En ligne de commande :

gpg --send-key <Key ID>
(ou)
gpg --keyserver <URL d'un serveur en particulier> --send-key <Key ID>

=== Publier la bonne nouvelle ===

Il est temps de prévenir le reste du monde que vous avez maintenant une belle clé toute neuve, toute sécurisée. Et il faut le faire de manière à ce que cette information soit digne de confiance, en montrant que c'est bien vous qui faites cette annonce et que vous possédez bien cette nouvelle clé.

Préparez un fichier texte dans lequel vous expliquez la situation. Vous pouvez vous aider d'un [https://we.riseup.net/assets/77263/key%20transition exemple] (que j'ai la flemme de traduire pour l'instant), en vous assurant bien entendu de placer les ID et empreintes de l'ancienne et de la nouvelle clé la ou ça va bien. Enregistrez votre annonce avec un nom explicite, par exemple <code>opengpg-transition-{{CURRENTYEAR}}.txt</code>.

Signez ce fichier à l'aide de votre ancienne clé ET de la nouvelle :

gpg -u <ID de l'ancienne clé> -u <ID de la nouvelle clé> --armor --clearsign openpgp-transition-{{CURRENTYEAR}}.txt

GPG vous demande vos deux phrases de passe, ensuite de quoi il génère un fichier <code>openpgp-transition-{{CURRENTYEAR}}.txt.asc</code> qui est votre annonce signée. Vous pouvez bazarder la version non signée, dont vous n'aurez plus besoin.

Placez cette annonce là où les gens pourront la trouver ; sur votre site web par exemple. Si vous n'avez pas de site web (et pas d'ami pour vous prêter le sien), vous pouvez aussi bien utiliser Pastebin.com, assurez-vous juste de communiquer la version <code>Raw</code> de votre paste, qui du coup ressemblera à quelque chose comme <code><nowiki>http://pastebin.com/raw.php?i=d34db00b</nowiki></code>.

=== Révoquer l'ancienne clé ===

Il faut maintenant révoquer l'ancienne clé. Le but est d'éviter que les gens continuent de l'utiliser pour chiffrer des mails à votre attention, et qu'ils se rendent compte que cette ancienne clé n'est plus digne de confiance. Vous serez cependant toujours capable de lire les mails (et documents) qui ont été chiffrés avec votre ancienne clé, vu que la révoquer ne la supprime pas.

Avec Enigmail :

* Rouvrez la fenêtre de gestion des clés. Vous savez comment faire, n'est-ce pas ?
* Cherchez votre ''ancienne'' clé, celle que vous ne voulez plus utiliser.
* Faites un clic droit dessus et sélectionnez <code>Revoke</code>, vérifiez qu'il s'agit bien de la bonne clé, puis entrez votre phrase de passe.
* Pour terminer le processus, publiez cette clé comme vous l'avez déjà fait plus haut, pour qu'elle soit mise à jour sur les serveurs de clés.

En ligne de commande :

* Générez un certificat de révocation pour votre ancienne clé :

gpg --output "<ID de l'ancienne clé>_rev.asc" --gen-revoke <ID de l'ancienne clé>

* Confirmez que vous voulez générer un certificat de révocation, et sélectionnez la seconde option <code>2 = Key is superseded</code>.
* Pour le commentaire en option, vous pouvez entrer quelque chose comme <code>Remplacée par la clé <ID de la nouvelle clé></code>.
* Confirmez puis entrez votre phrase de passe.
* Le certificat de révocation a été écrit dans un fichier <code><ID de l'ancienne clé>_rev.asc</code>, que vous importerez ensuite :

gpg --import "<ID de l'ancienne clé>_rev.asc"

* Félicitations, votre clé est révoquée. Vous pouvez la publier sur les serveurs de clés, tout comme vous l'avez déjà fait plus haut.

=== Spammer sans vergogne ===

* Prévenez les correspondant avec lesquels vous avez eu des échanges chiffrés et ceux qui ont signé votre clé par le passé, en leur indiquant l'URL de votre annonce (ou en l'incluant en pièce jointe).
* Vous pouvez faire figurer cette URL dans la signature de vos mails, ou acheter un encart pleine page dans Le Monde De La Finance, bref, faites du bruit powpowpow.
* Trimbalez-vous avec l'ID et l'empreinte de votre nouvelle clé pour la distribuer à tous ceux que vous voulez voir signer votre nouvelle clé.

== Références ==

<references />

[[Category:Documentation]]

Shakirail

2013-01-17T16:52:20Z

Dermiste: /* Sur le net */

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web Shakirail : http://shakirail.blogspot.fr/
* Site web Curry Vavart : http://www.curry-vavart.com/

== Contact ==

* Voir avec [[User:dermiste]]

== Opportunités ==

=== Bibliothèque ===

Le shakirail dispose d'une belle bibliothèque, on pourrait mettre en place son pendant numérique ? En gros, une machine avec du gros disque, de la grosse ram et un système pour gérer stockage et indexation.

Projet en cours, voir [[FreeNAS]].

=== Copy party ===

12BDProd, qui a un point de présence au shakirail avec le kino et la bibliothèque, organise des copy parties. Pour l'instant aucune R&D n'a été faite ni sur le stockage, ni sur la diffusion, ni sur le dépot, ni sur le tri.

=== Illumination WiFi ===

De grandes facades d'immeubles font face au shakirail, avec une bonne antenne on doit pouvoir les arroser et mettre ainsi les voisins en contact direct avec le lieu via par exemple une radio.

== Réseau ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli: les réseaux ouverts en WEP avoisinants.

L'uplink est une fonera 2100 flashée avec OpenWRT BackFire, qui sert des baux DHCP sur 172.16.1.0/24, située dans "l'amphitheatre", coin gauche en entrant sur les gradins.

Le switch core est situé dans le placard dit "local lumières" (coincé entre le Kino et le biliothèque). Des câbles arrosent la bibliothèque et le Kino.

Il y a un cable RJ45 qui court de "l'amphitheatre" vers le batiment vert, il ressort au niveau du bureau du premier étage du batiment vert, au niveau du sol et dans le coin pris entre la chambre et la SdB. Un Dlink dir-600 doit faire la liaison et arroser en wifi le batiment rouge par la même occasion.

== Uplink ==

L'uplink est fourni par une fonera couplée à une biquad installée en équilibre précaire dans la grande salle du premier.

Accès en SSH en root user.

La fonera dispose d'infos sur 6 réseaux voisins, stockées dans /etc/config/wireless.$ESSID

Le script /root/check_uplink appelé par cron toutes les 5 minutes:
* verifie l'existence d'une route par defaut
* pingue le routeur par defaut
* pingue 8.8.8.8

Si l'un de ces tests echoue, il tente de se reconnecter à chaque réseau qui est présent et déclaré dans /etc/config, en commencant par celui qui a la meilleure qualité de lien. Ce script est protégé contre l'empilage.

== Monitoring ==

Un wr703n a été planqué dans le kino, son unique rôle est de pinguer 8.8.8.8 toutes les minutes et de logguer le résultat sur une clé USB VFAT.

Accès non-authentifié en telnet.

== Todo ==

* [DONE: 2x d-link dir-600] illuminer le bâtiment vert. Besoin: 1 switch (5 ports) + 1 AP wifi

* [DONE] mettre en place une antenne biquad qui tourne

* tirer un cable vers un atelier du RdC (nécessaire ?)

[[Category:Squat]]

FreeNAS dans un jail

2012-12-16T09:47:37Z

Dermiste: /* Configuration de la jail finale */

FreeNAS dans un jail.

== Mise en place d'une jail ==

=== Bootstrap du système ===

Sans rentrer dans les détails, il faut d'abord installer le PBI plugin. Ce plugin va créer une jail à l'intérieur de laquelle l'ensemble des fonctions de FreeBSD sont accessibles ; à partir de là, il suffit d'exécuter <tt>sysinstall</tt> pour installer l'arborescence des sources et l'arborescence des ports, puis de suivre les instructions de [http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/jails-build.html la doc FreeBSD sur les jails]. Si le fetch de sysinstall échoue, vérifier que le nom de release dans les options est correct.

=== Configuration de la jail finale ===

Ne pas oublier de changer les noms et les adresses IP, et toute autre valeur de <tt>rc.conf(5)</tt> nécessaire.

JAIL_ROOTPATH="/mnt/mainstore/jail"
JAIL_NAME="ports"

mount -o rw /
cat << EOF >> /conf/base/etc/rc.conf

cloned_interfaces="bridge0 epair0"
ifconfig_bridge0="addm epair0a addm em0 up"
ifconfig_epair0a="up"
ifconfig_epair0b="up"

jail_ports_rootdir="$JAIL_ROOTPATH"
jail_ports_hostname="$JAIL_NAME"
jail_ports_name="$JAIL_NAME"
jail_ports_devfs_enable="YES"
jail_ports_devfs_ruleset="devfsrules_jail"
jail_ports_procfs_enable="YES"
jail_ports_mount_enable="NO"
jail_ports_vnet_enable="YES"
jail_ports_flags="-l -U root -c persist"
jail_ports_exec_start="/bin/sh /dev/null"
jail_ports_exec_earlypoststart0="ifconfig epair0b vnet ports"
jail_ports_exec_afterstart0="/bin/sh /etc/rc.d/netif restart"
jail_ports_exec_afterstart1="/bin/sh /etc/rc.d/routing restart"
jail_ports_exec_afterstart2="/bin/sh /etc/rc"

jail_list="ports"
jail_v2_enable="YES"
jail_enable="YES"
EOF
mount -o ro /

cat << EOF > /mnt/mainstore/jail/etc/rc.conf
devd_enable="NO"
root_rw_mount="NO"
hostname="ports"

network_interfaces="lo0 epair0b"
ifconfig_epair0b="inet 10.0.0.2 netmask 255.255.255.0"
defaultrouter="10.0.0.1"
static_routes=""

syslogd_enable="NO"
inetd_enable="NO"
inetd_flags="-wW -C 60"

sshd_enable="NO"
sshd_flags=""
EOF

[[Category:Projets]]
[[Category:Documentation]]

FreeNAS dans un jail

2012-12-16T09:43:50Z

Dermiste: /* Configuration de la jail finale */

FreeNAS dans un jail.

== Mise en place d'une jail ==

=== Bootstrap du système ===

Sans rentrer dans les détails, il faut d'abord installer le PBI plugin. Ce plugin va créer une jail à l'intérieur de laquelle l'ensemble des fonctions de FreeBSD sont accessibles ; à partir de là, il suffit d'exécuter <tt>sysinstall</tt> pour installer l'arborescence des sources et l'arborescence des ports, puis de suivre les instructions de [http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/jails-build.html la doc FreeBSD sur les jails]. Si le fetch de sysinstall échoue, vérifier que le nom de release dans les options est correct.

=== Configuration de la jail finale ===

Ne pas oublier de changer les noms et les adresses IP, et toute autre valeur de <tt>rc.conf(5)</tt> nécessaire.

JAIL_ROOTPATH="/mnt/mainstore/jail"
JAIL_NAME="ports"

mount -o rw /
cat << EOF >> /conf/base/etc/rc.conf

cloned_interfaces="bridge0 epair0"
ifconfig_bridge0="addm epair0a addm em0 up"
ifconfig_epair0a="up"
ifconfig_epair0b="up"

jail_ports_rootdir="$JAIL_ROOTPATH"
jail_ports_hostname="$JAIL_NAME"
jail_ports_name="$JAIL_NAME"
jail_ports_devfs_enable="YES"
jail_ports_devfs_ruleset="devfsrules_jail"
jail_ports_procfs_enable="YES"
jail_ports_mount_enable="NO"
jail_ports_vnet_enable="YES"
jail_ports_flags="-l -U root -c persist"
jail_ports_exec_start="/bin/sh /dev/null"
jail_ports_exec_earlypoststart0="ifconfig epair0b vnet ports"
jail_ports_exec_afterstart0="/bin/sh /etc/rc.d/netif restart"
jail_ports_exec_afterstart1="/bin/sh /etc/rc.d/routing restart"
jail_ports_exec_afterstart2="/bin/sh /etc/rc"

jail_list="ports"
jail_v2_enable="YES"
jail_enable="YES"
EOF
mount -o ro /

cat << EOF > /mnt/mainstore/jail/etc/rc.conf
devd_enable="NO"
root_rw_mount="NO"
hostname="ports"

network_interfaces="lo0 epair0b"
ifconfig_epair0b="inet 10.0.0.2 netmask 255.255.255.0"
defaultrouter="10.0.0.1"
static_routes=""

syslogd_enable="NO"
inetd_enable="NO"
inetd_flags="-wW -C 60"

sshd_enable="NO"
sshd_flags=""

EOF

[[Category:Projets]]
[[Category:Documentation]]

FreeNAS dans un jail

2012-12-16T09:42:30Z

Dermiste: Backports des modifs faites sur la jail du shakirail

FreeNAS dans un jail.

== Mise en place d'une jail ==

=== Bootstrap du système ===

Sans rentrer dans les détails, il faut d'abord installer le PBI plugin. Ce plugin va créer une jail à l'intérieur de laquelle l'ensemble des fonctions de FreeBSD sont accessibles ; à partir de là, il suffit d'exécuter <tt>sysinstall</tt> pour installer l'arborescence des sources et l'arborescence des ports, puis de suivre les instructions de [http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/jails-build.html la doc FreeBSD sur les jails]. Si le fetch de sysinstall échoue, vérifier que le nom de release dans les options est correct.

=== Configuration de la jail finale ===

Ne pas oublier de changer les noms et les adresses IP, et toute autre valeur de <tt>rc.conf(5)</tt> nécessaire.

JAIL_ROOTPATH="/mnt/mainstore/jail"
JAIL_NAME="ports"

mount -o rw /
cat << EOF >> /conf/base/etc/rc.conf

cloned_interfaces="bridge0 epair0"
ifconfig_bridge0="addm epair0a addm em0 up"
ifconfig_epair0a="up"
ifconfig_epair0b="up"

jail_ports_rootdir="$JAIL_ROOTPATH"
jail_ports_hostname="$JAIL_NAME"
jail_ports_name="$JAIL_NAME"
jail_ports_devfs_enable="YES"
jail_ports_devfs_ruleset="devfsrules_jail"
jail_ports_procfs_enable="YES"
jail_ports_mount_enable="NO"
jail_ports_vnet_enable="YES"
jail_ports_flags="-l -U root -c persist"
jail_ports_exec_start="/bin/sh /dev/null"
jail_ports_exec_earlypoststart0="ifconfig epair0b vnet ports"
jail_ports_exec_afterstart0="/bin/sh /etc/rc.d/netif restart"
jail_ports_exec_afterstart1="/bin/sh /etc/rc.d/routing restart"
jail_ports_exec_afterstart2="/bin/sh /etc/rc"

jail_list="ports"
jail_v2_enable="YES"
jail_enable="YES"
EOF
mount -o ro /

cat << EOF > /mnt/mainstore/jail/etc/rc.conf
devd_enable="NO"
root_rw_mount="NO"
hostname="ports"

network_interfaces="lo0 epair0b"
ifconfig_epair0b="inet 10.0.0.2 netmask 255.255.255.0"
defaultrouter="10.0.0.1"
static_routes=""

syslogd_enable="NO"
inetd_enable="NO"
inetd_flags="-wW -C 60"

sshd_enable="NO"
sshd_flags=""

EOF

[[Category:Projets]]
[[Category:Documentation]]

Shakirail

2012-12-11T06:49:31Z

Dermiste:

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web : http://shakirail.blogspot.fr/
* Mailing list: curryvavart@verot.net

== Contact ==

* Voir avec [[User:dermiste]]

== Opportunités ==

=== Bibliothèque ===

Le shakirail dispose d'une belle bibliothèque, on pourrait mettre en place son pendant numérique ? En gros, une machine avec du gros disque, de la grosse ram et un système pour gérer stockage et indexation.

Projet en cours, voir [[FreeNAS]].

=== Copy party ===

12BDProd, qui a un point de présence au shakirail avec le kino et la bibliothèque, organise des copy parties. Pour l'instant aucune R&D n'a été faite ni sur le stockage, ni sur la diffusion, ni sur le dépot, ni sur le tri.

=== Illumination WiFi ===

De grandes facades d'immeubles font face au shakirail, avec une bonne antenne on doit pouvoir les arroser et mettre ainsi les voisins en contact direct avec le lieu via par exemple une radio.

== Réseau ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli: les réseaux ouverts en WEP avoisinants.

L'uplink est une fonera 2100 flashée avec OpenWRT BackFire, qui sert des baux DHCP sur 172.16.1.0/24, située dans "l'amphitheatre", coin gauche en entrant sur les gradins.

Le switch core est situé dans le placard dit "local lumières" (coincé entre le Kino et le biliothèque). Des câbles arrosent la bibliothèque et le Kino.

Il y a un cable RJ45 qui court de "l'amphitheatre" vers le batiment vert, il ressort au niveau du bureau du premier étage du batiment vert, au niveau du sol et dans le coin pris entre la chambre et la SdB. Un Dlink dir-600 doit faire la liaison et arroser en wifi le batiment rouge par la même occasion.

== Uplink ==

L'uplink est fourni par une fonera couplée à une biquad installée en équilibre précaire dans la grande salle du premier.

Accès en SSH en root user.

La fonera dispose d'infos sur 6 réseaux voisins, stockées dans /etc/config/wireless.$ESSID

Le script /root/check_uplink appelé par cron toutes les 5 minutes:
* verifie l'existence d'une route par defaut
* pingue le routeur par defaut
* pingue 8.8.8.8

Si l'un de ces tests echoue, il tente de se reconnecter à chaque réseau qui est présent et déclaré dans /etc/config, en commencant par celui qui a la meilleure qualité de lien. Ce script est protégé contre l'empilage.

== Monitoring ==

Un wr703n a été planqué dans le kino, son unique rôle est de pinguer 8.8.8.8 toutes les minutes et de logguer le résultat sur une clé USB VFAT.

Accès non-authentifié en telnet.

== Todo ==

* [DONE: 2x d-link dir-600] illuminer le bâtiment vert. Besoin: 1 switch (5 ports) + 1 AP wifi

* [DONE] mettre en place une antenne biquad qui tourne

* tirer un cable vers un atelier du RdC (nécessaire ?)

[[Category:Squat]]

FreeNAS dans un jail

2012-12-11T06:47:20Z

Dermiste: Created page with " == Mise en place d'une jail == === Bootstrap du système === Sans rentrer dans les détails, il faut d'abord installer le PBI plugin. ce plugin va créer une jail à l'int..."

== Mise en place d'une jail ==

=== Bootstrap du système ===

Sans rentrer dans les détails, il faut d'abord installer le PBI plugin. ce plugin va créer une jail à l'intérieur de laquelle l'ensemble des fonctions de FreeBSD sont accessibles ; a partir de la il suffit d'exécuter sysinstall pour installer l'arborescence des sources et l'arborescence des ports, puis de suivre les instructions de http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/jails-build.html. Si le fetch de sysinstall échoue, vérifier que le nom de release dans les options est correct.

=== Configuration de la jail finale ===

Ne pas oublier de changer les noms et les adresses IPs, et toute autre valeur de rc.conf(5) necéssaire.

<code>
mount -o rw /
cat << EOF >> /conf/base/etc/rc.conf

cloned_interfaces="bridge0 epair0"
ifconfig_bridge0="addm epair0a addm em0 up"
ifconfig_epair0a="up"
ifconfig_epair0b="up"

jail_ports_rootdir="/mnt/mainstore/jail"
jail_ports_hostname="ports"
jail_ports_name="ports"
jail_ports_devfs_enable="YES"
jail_ports_devfs_ruleset="devfsrules_jail"
jail_ports_procfs_enable="YES"
jail_ports_mount_enable="NO"
jail_ports_vnet_enable="YES"
jail_ports_flags="-l -U root -c persist"
jail_ports_exec_start="/bin/sh /dev/rc"
jail_ports_exec_earlypoststart0="ifconfig epair0b vnet ports"
jail_ports_exec_afterstart0="ifconfig lo0 127.0.0.1"
jail_ports_exec_afterstart1="ifconfig epair0b 10.0.0.2 netmask 255.255.255.0 up"

jail_list="ports"
jail_v2_enable="YES"
jail_enable="YES"
EOF
mount -o ro /

cat << EOF > /mnt/mainstore/jail/etc/rc.conf
devd_enable="NO"
root_rw_mount="NO"
hostname="ports"

network_interfaces="lo0 epair0b"
ifconfig_epair0b="inet 10.0.0.2 netmask 255.255.255.0"
syslogd_enable="NO"
inetd_enable="NO"
inetd_flags="-wW -C 60"

sshd_enable="NO"
sshd_flags=""
defaultrouter="NO"
static_routes=""
EOF
</code>

[[Category:Projets]]

Shakirail

2012-10-18T10:24:06Z

Dermiste: /* Contact */

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web : http://shakirail.blogspot.fr/
* Mailing list: curryvavart@verot.net

== Contact ==

* Voir avec [[User:dermiste]]

== Opportunités ==

=== Bibliothèque ===

Le shakirail dispose d'une belle bibliothèque, on pourrait mettre en place son pendant numérique ? En gros, une machine avec du gros disque, de la grosse ram et un système pour gérer stockage et indexation.

=== Copy party ===

12BDProd, qui a un point de présence au shakirail avec le kino et la bibliothèque, organise des copy parties. Pour l'instant aucune R&D n'a été faite ni sur le stockage, ni sur la diffusion, ni sur le dépot, ni sur le tri.

=== Illumination WiFi ===

De grandes facades d'immeubles font face au shakirail, avec une bonne antenne on doit pouvoir les arroser et mettre ainsi les voisins en contact direct avec le lieu via par exemple une radio.

== Réseau ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli: les réseaux ouverts en WEP avoisinants.

L'uplink est une fonera 2100 flashée avec OpenWRT BackFire, qui sert des baux DHCP sur 172.16.1.0/24, située dans "l'amphitheatre", coin gauche en entrant sur les gradins.

Le switch core est situé dans le placard dit "local lumières" (coincé entre le Kino et le biliothèque). Des câbles arrosent la bibliothèque et le Kino.

Il y a un cable RJ45 qui court de "l'amphitheatre" vers le batiment vert, il ressort au niveau du bureau du premier étage du batiment vert, au niveau du sol et dans le coin pris entre la chambre et la SdB. Un Dlink dir-600 doit faire la liaison et arroser en wifi le batiment rouge par la même occasion.

== Uplink ==

L'uplink est fourni par une fonera couplée à une biquad installée en équilibre précaire dans la grande salle du premier.

Accès en SSH en root user.

La fonera dispose d'infos sur 6 réseaux voisins, stockées dans /etc/config/wireless.$ESSID

Le script /root/check_uplink appelé par cron toutes les 5 minutes:
* verifie l'existence d'une route par defaut
* pingue le routeur par defaut
* pingue 8.8.8.8

Si l'un de ces tests echoue, il tente de se reconnecter à chaque réseau qui est présent et déclaré dans /etc/config, en commencant par celui qui a la meilleure qualité de lien. Ce script est protégé contre l'empilage.

== Monitoring ==

Un wr703n a été planqué dans le kino, son unique rôle est de pinguer 8.8.8.8 toutes les minutes et de logguer le résultat sur une clé USB VFAT.

Accès non-authentifié en telnet.

== Todo ==

* [DONE: 2x d-link dir-600] illuminer le bâtiment vert. Besoin: 1 switch (5 ports) + 1 AP wifi

* [DONE] mettre en place une antenne biquad qui tourne

* tirer un cable vers un atelier du RdC (nécessaire ?)

[[Category:Squat]]

Shakirail

2012-10-18T09:02:35Z

Dermiste: /* Réseau interne */

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web : http://shakirail.blogspot.fr/
* Mailing list: curryvavart@verot.net

== Contact ==

* Voir avec [[User:dermiste]]

== Réseau ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli: les réseaux ouverts en WEP avoisinants.

L'uplink est une fonera 2100 flashée avec OpenWRT BackFire, qui sert des baux DHCP sur 172.16.1.0/24, située dans "l'amphitheatre", coin gauche en entrant sur les gradins.

Le switch core est situé dans le placard dit "local lumières" (coincé entre le Kino et le biliothèque). Des câbles arrosent la bibliothèque et le Kino.

Il y a un cable RJ45 qui court de "l'amphitheatre" vers le batiment vert, il ressort au niveau du bureau du premier étage du batiment vert, au niveau du sol et dans le coin pris entre la chambre et la SdB. Un Dlink dir-600 doit faire la liaison et arroser en wifi le batiment rouge par la même occasion.

== Uplink ==

L'uplink est fourni par une fonera couplée à une biquad installée en équilibre précaire dans la grande salle du premier.

Accès en SSH en root user.

La fonera dispose d'infos sur 6 réseaux voisins, stockées dans /etc/config/wireless.$ESSID

Le script /root/check_uplink appelé par cron toutes les 5 minutes:
* verifie l'existence d'une route par defaut
* pingue le routeur par defaut
* pingue 8.8.8.8

Si l'un de ces tests echoue, il tente de se reconnecter à chaque réseau qui est présent et déclaré dans /etc/config, en commencant par celui qui a la meilleure qualité de lien. Ce script est protégé contre l'empilage.

== Monitoring ==

Un wr703n a été planqué dans le kino, son unique rôle est de pinguer 8.8.8.8 toutes les minutes et de logguer le résultat sur une clé USB VFAT.

Accès non-authentifié en telnet.

== Todo ==

* [DONE: 2x d-link dir-600] illuminer le bâtiment vert. Besoin: 1 switch (5 ports) + 1 AP wifi

* [DONE] mettre en place une antenne biquad qui tourne

* tirer un cable vers un atelier du RdC (nécessaire ?)

[[Category:Squat]]

Shakirail

2012-10-18T08:56:58Z

Dermiste: /* Todo */

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web : http://shakirail.blogspot.fr/
* Mailing list: curryvavart@verot.net

== Contact ==

* Voir avec [[User:dermiste]]

== Réseau interne ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli: les réseaux ouverts en WEP avoisinants.

Le suceur de wifi est une fonera 2100 flashée avec OpenWRT BackFire, qui sert des baux DHCP sur 172.16.1.0/24, située dans "l'amphitheatre", coin gauche en entrant sur les gradins. L'antenne est actuellement une grosse yagi 16 dBi bien encombrante.

Le switch core est situé dans le placard dit "local lumières" (coincé entre le Kino et le biliothèque). Des câbles arrosent la bibliothèque et le Kino.

Il y a un cable RJ45 qui court de "l'amphitheatre" vers le batiment vert, il ressort au niveau du bureau du premier étage du batiment vert, au niveau du sol et dans le coin pris entre la chambre et la SdB. Un Dlink dir-600 doit faire la liaison et arroser en wifi le batiment rouge par la même occasion.

== Uplink ==

L'uplink est fourni par une fonera couplée à une biquad installée en équilibre précaire dans la grande salle du premier.

Accès en SSH en root user.

La fonera dispose d'infos sur 6 réseaux voisins, stockées dans /etc/config/wireless.$ESSID

Le script /root/check_uplink appelé par cron toutes les 5 minutes:
* verifie l'existence d'une route par defaut
* pingue le routeur par defaut
* pingue 8.8.8.8

Si l'un de ces tests echoue, il tente de se reconnecter à chaque réseau qui est présent et déclaré dans /etc/config, en commencant par celui qui a la meilleure qualité de lien. Ce script est protégé contre l'empilage.

== Monitoring ==

Un wr703n a été planqué dans le kino, son unique rôle est de pinguer 8.8.8.8 toutes les minutes et de logguer le résultat sur une clé USB VFAT.

Accès non-authentifié en telnet.

== Todo ==

* [DONE: 2x d-link dir-600] illuminer le bâtiment vert. Besoin: 1 switch (5 ports) + 1 AP wifi

* [DONE] mettre en place une antenne biquad qui tourne

* tirer un cable vers un atelier du RdC (nécessaire ?)

[[Category:Squat]]

Shakirail

2012-10-18T08:55:30Z

Dermiste: /* Fonera */

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web : http://shakirail.blogspot.fr/
* Mailing list: curryvavart@verot.net

== Contact ==

* Voir avec [[User:dermiste]]

== Réseau interne ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli: les réseaux ouverts en WEP avoisinants.

Le suceur de wifi est une fonera 2100 flashée avec OpenWRT BackFire, qui sert des baux DHCP sur 172.16.1.0/24, située dans "l'amphitheatre", coin gauche en entrant sur les gradins. L'antenne est actuellement une grosse yagi 16 dBi bien encombrante.

Le switch core est situé dans le placard dit "local lumières" (coincé entre le Kino et le biliothèque). Des câbles arrosent la bibliothèque et le Kino.

Il y a un cable RJ45 qui court de "l'amphitheatre" vers le batiment vert, il ressort au niveau du bureau du premier étage du batiment vert, au niveau du sol et dans le coin pris entre la chambre et la SdB. Un Dlink dir-600 doit faire la liaison et arroser en wifi le batiment rouge par la même occasion.

== Uplink ==

L'uplink est fourni par une fonera couplée à une biquad installée en équilibre précaire dans la grande salle du premier.

Accès en SSH en root user.

La fonera dispose d'infos sur 6 réseaux voisins, stockées dans /etc/config/wireless.$ESSID

Le script /root/check_uplink appelé par cron toutes les 5 minutes:
* verifie l'existence d'une route par defaut
* pingue le routeur par defaut
* pingue 8.8.8.8

Si l'un de ces tests echoue, il tente de se reconnecter à chaque réseau qui est présent et déclaré dans /etc/config, en commencant par celui qui a la meilleure qualité de lien. Ce script est protégé contre l'empilage.

== Monitoring ==

Un wr703n a été planqué dans le kino, son unique rôle est de pinguer 8.8.8.8 toutes les minutes et de logguer le résultat sur une clé USB VFAT.

Accès non-authentifié en telnet.

== Todo ==

* illuminer le bâtiment vert. Besoin: 1 switch (5 ports) + 1 AP wifi [DONE]: 2x Dlink dir-600

* tirer un cable vers un atelier du RdC

* mettre en place une antenne biquad qui tourne ( prevu dimanche 9-09 avec ge-ser)

[[Category:Squat]]

Shakirail

2012-09-07T07:06:50Z

Dermiste: /* Réseau interne */

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web : http://shakirail.blogspot.fr/
* Mailing list: curryvavart@verot.net

== Contact ==

* Voir avec [[User:dermiste]]

== Réseau interne ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli: les réseaux ouverts en WEP avoisinants.

Le suceur de wifi est une fonera 2100 flashée avec OpenWRT BackFire, qui sert des baux DHCP sur 172.16.1.0/24, située dans "l'amphitheatre", coin gauche en entrant sur les gradins. L'antenne est actuellement une grosse yagi 16 dBi bien encombrante.

Le switch core est situé dans le placard dit "local lumières" (coincé entre le Kino et le biliothèque). Des câbles arrosent la bibliothèque et le Kino.

Il y a un cable RJ45 qui court de "l'amphitheatre" vers le batiment vert, il ressort au niveau du bureau du premier étage du batiment vert, au niveau du sol et dans le coin pris entre la chambre et la SdB. Un Dlink dir-600 doit faire la liaison et arroser en wifi le batiment rouge par la même occasion.

== Fonera ==

La fonera dispose d'infos sur 4 réseaux voisins, stockées dans /etc/config/wireless.$ESSID

Le script /root/check_uplink appelé par cron toutes les 5 minutes:
* verifie l'existence d'une route par defaut
* pingue le routeur par defaut
* pingue 8.8.8.8

Si l'un de ces tests echoue, il tente de se reconnecter a chaque réseau qui est présent et déclaré dans /etc/config, en commencant par celui qui a la meilleure qualité de lien. Ce script est protégé contre l'empilage.

== Todo ==

* illuminer le bâtiment vert. Besoin: 1 switch (5 ports) + 1 AP wifi [DONE]: 2x Dlink dir-600

* tirer un cable vers un atelier du RdC

* mettre en place une antenne biquad qui tourne ( prevu dimanche 9-09 avec ge-ser)

[[Category:Squat]]

Shakirail

2012-09-07T06:59:07Z

Dermiste: /* Todo */

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web : http://shakirail.blogspot.fr/
* Mailing list: curryvavart@verot.net

== Contact ==

* Voir avec [[User:dermiste]]

== Réseau interne ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli: les réseaux ouverts en WEP avoisinants.

Le suceur de wifi est une fonera 2100 flashée avec OpenWRT BackFire, qui sert des baux DHCP sur 172.16.1.0/24, située dans "l'amphitheatre", coin gauche en entrant sur les gradins. L'antenne est actuellement une grosse yagi 16 dBi bien encombrante.

Le switch core est situé dans le placard dit "local lumières" (coincé entre le Kino et le biliothèque). Des câbles arrosent la bibliothèque et le Kino.

Il y a un cable RJ45 qui court de "l'amphitheatre" vers le batiment vert, il ressort au niveau du bureau du premier étage du batiment vert, au niveau du sol et dans le coin pris entre la chambre et la SdB. Il n'est pas encore branché, faute d'avoir un petit switch a brancher au cul de la fonera.

== Todo ==

* illuminer le bâtiment vert. Besoin: 1 switch (5 ports) + 1 AP wifi [DONE]: 2x Dlink dir-600

* tirer un cable vers un atelier du RdC

* mettre en place une antenne biquad qui tourne ( prevu dimanche 9-09 avec ge-ser)

[[Category:Squat]]

Shakirail

2012-08-08T19:58:09Z

Dermiste: Infos sur le Shakirail

== Adresse ==

72 rue Riquet, 75018 PARIS

Station : Marx Dormoy (M12)

== Sur le net ==

* Site web : http://shakirail.blogspot.fr/
* Mailing list: curryvavart@verot.net

== Contact ==

* Voir avec [[User:dermiste]]

== Réseau interne ==

En raison d'un statut historique particulier, il n'est pas possible d'ouvrir de ligne téléphonique. Solution de repli: les réseaux ouverts en WEP avoisinants.

Le suceur de wifi est une fonera 2100 flashée avec OpenWRT BackFire, qui sert des baux DHCP sur 172.16.1.0/24, située dans "l'amphitheatre", coin gauche en entrant sur les gradins. L'antenne est actuellement une grosse yagi 16 dBi bien encombrante.

Le switch core est situé dans le placard dit "local lumières" (coincé entre le Kino et le biliothèque). Des câbles arrosent la bibliothèque et le Kino.

Il y a un cable RJ45 qui court de "l'amphitheatre" vers le batiment vert, il ressort au niveau du bureau du premier étage du batiment vert, au niveau du sol et dans le coin pris entre la chambre et la SdB. Il n'est pas encore branché, faute d'avoir un petit switch a brancher au cul de la fonera.

== Todo ==

* illuminer le bâtiment vert. Besoin: 1 switch (5 ports) + 1 AP wifi

* tirer un cable vers un atelier du RdC

* mettre en place une antenne biquad qui tourne

[[Category:Squat]]

User:Dermiste

2012-08-08T18:14:38Z

Dermiste: Created page with "'''dermiste''', submersible. == Contact == * Tél : <tt>06 ! 79 ! 23 ! 78 ! 91</tt> * Mail : <tt>dermiste ! kilob ! yt</tt> == Accounting == === adduser === adduser --sh..."

'''dermiste''', submersible.

== Contact ==
* Tél : <tt>06 ! 79 ! 23 ! 78 ! 91</tt>
* Mail : <tt>dermiste ! kilob ! yt</tt>

== Accounting ==

=== adduser ===

adduser --shell /bin/bash dermiste

=== GPG ===
* type: DSA-3072
* id: 24785FAB
* fingerprint: 01B0 23B4 A812 BBF6 BA8A 1E4B 9A85 AAE6 2478 5FAB

=== SSH ===
ssh-dss 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 dermiste@smeagol

[[Category:WikiGnome]]

GenerationDePaletteDeCouleurs

2012-05-20T16:29:13Z