univnautes-old/help/fr/configuration-avancee.page

<page xmlns="http://projectmallard.org/1.0/"
      type="topic" style="task"
      id="configuration-avancee" xml:lang="fr">

<info>
  <link type="guide" xref="index" group="configuration-avancee"/>
  <desc>Procédures pour établir quelques types de configuration au niveau d'Univnautes/pfSense.</desc>
  <revision pkgversion="20120605" version="1.0" date="10-06-2012" status="final"/>
  <credit type="author">
    <name>Thomas Noël</name>
    <email>tnoël@entrouvert.com</email>
  </credit>
  <credit type="maintainer">
    <name>Pierre Cros</name>
    <email>pcros@entrouvert.com</email>
  </credit>
</info>

<title>Configuration avancée et optimisations</title>

<p>Cette page décrit les procédures pour établir quelques types de
configuration au niveau d'Univnautes/pfSense. Pour les paramètres de base, voir
la page <link type="topic" xref="configuration"/> .</p>

<section id="backup">
  <title>Backup de la configuration</title>
  <p>La page <em>Diagnostic/Backup</em> Restore permet de télécharger (backup)
  le fichier de configuration du système, appelé <em>config.xml</em>. Ce
  fichier contient toute la configuration de la machine, y compris la partie
  Univnautes.</p>
  <p>Pour la restauration, il faut utiliser cette même page. Une fois le
  fichier <em>config.xml</em> restauré, il est conseillé de rebooter
  complétement le système pour être certain que tous les services ont bien été
  reconfigurés et le seront au prochain boot.</p>
</section>

<section id="blacklist-url">
<title>Liste noire d'URLs qui ne déclenchent pas le portail captif</title>

<p>Par défaut, les navigateurs des utilisateurs non connectés sont systématiquement
redirigés vers la page de connexion, quelque soit la première URL interrogée.</p>

<p>Cependant, les téléphones et tablettes récentes disposent en général d'un
grand nombre d'outils (apps, widget, etc.) qui tournent en tâche de fond et
font régulièrement des requêtes sur Internet : recherche de mise à jour,
téléchargement de flux d'information, etc..
</p>

<p>Si UnivNautes réagit à ces URLs, cela charge la machine pour rien. Il est
donc conseillé de configurer une liste noire des URLs qui ne doivent pas déclencher
la page de connexion. Ces URLs s'expriment sous forme d'<em>expressions régulières</em>.</p>

<p>Cela se fait sur la page « Services / Captive Portal », en bas de l'onglet
« UnivNautes ».</p>

  <figure>
    <title>Black list d'URLs</title>
    <media type="image" mime="image/png" src="figures/blacklist-url.png"></media>
  </figure>

<p>
Ci-dessous une liste noire fonctionnelle (en janvier 2014) :
</p>

<code>
.*\.xml$
.*\.cab$
.*\.crl$
^http://crl\.
^http://pingsl.avast.com/files/vpn_ssid.txt
^http://www\.airport\.us/
^http://www\.apple\.com/library/test/success\.html
^http://captive\.apple\.com/
^http://www\.itools\.info/
^http://www\.ibook\.info/
^http://www\.thinkdifferent\.us/
^http://configuration\.apple\.com/
^http://www\.appleiphonecell\.com/
^http://.*\.push\.apple\.com/
^http://images\.apple\.com/fr/main/rss/
^http://www\.msftncsi\.com/ncsi\.txt
^http://download\.microsoft\.com/
^http://.*\.update\.microsoft\.com/
^http://.*\.ws\.microsoft\.com/
^http://.*\.windowsupdate\.com/
^http://conn\.skype\.com/
^http://download\.mcafee\.com/
^http://ocsp\.
^http://rss\.
^http://www\.blackberry\.com/select/wifiloginsuccess/
</code>

</section>

<section id="multi">
<title>Installation de plusieurs instances côte à côte</title>
<p>
Afin d'obtenir une meilleure tolérance aux pannes, on peut installer plusieurs
instances d'UnivNautes côte à côte. Chaque instance :</p>
<list>
<item><p>utilise le même nom (par exemple eduspot.univ-abcd.fr), les mêmes
certificats HTTPS et SAML ;</p></item>
<item><p>dispose d'une IP WAN propre ;</p></item>
<item><p>diffuse en DHCP un réseau IP distinct de tous les autres sur le LAN.</p></item>
</list>

  <figure>
    <title>Multi-instances</title>
    <media type="image" mime="image/png" src="figures/eduspot-ha.png"></media>
  </figure>
<p>
Lorsqu'un client se connecte au réseau WiFi, il envoie une demande DHCP : une
des instance va lui répondre. A partir de là, le client est géré par une
instance (c'est sa DNS, sa passerelle).
</p>

<p>
Si les instances sont identiques (CPU, accès réseau, etc.) alors les clients
seront uniformément répartis sur les différentes instances.
</p>

<p>
Si une des instance tombe en panne ou passe en maintenance, les clients WiFi se
reconnecteront (nouvelle requête DHCP) et seront alors gérés par une des autres
instances disponibles.
</p>

</section>

<section id="nat">
  <title>Suppression du NAT</title>
  <p>Se rendre dans le menu <em>Firewall</em> : <em>NAT</em>, onglet <em>Outbound</em>.</p>
  <p>Sélectionner le mode « Manual Outbound NAT rule generation (AON - Advanced Outbound NAT) » et cliquer sur le bouton <code>Save</code> à côté.</p>
  <p>Supprimer toutes les lignes éventuellement présente au niveau des <em>Mappings</em></p>
  <p>A la fin, un message « The NAT configuration has been changed. » apparait, cliquer sur le bouton <code>Apply changes</code> situé à sa droite. La fenêtre à ce moment ressemble à l'image ci-dessous :</p>
  <figure>
    <title>Suppression du NAT</title>
    <media type="image" mime="image/png" src="figures/noNAT.png" >
    </media>
  </figure>
  
</section>

<section id="source">
  <title>Source autorisée pour l'accès à l'interface web d'administration</title>
  <p>L'interface d'administration est disponible en https sur le port 8443. Pour la rendre accessible ou non, il faut se rendre sur <em>Firewall/Rules</em> et activer ou désactiver le filtrage sur tcp/8443.</p>

  <section id="lan">
    <title>Accès depuis le LAN (activé par défaut, à supprimer en production)</title>
    <list>
      <item><p>se rendre sur <em>Firewall/Rules</em>, onglet <em>LAN</em></p></item>
      <item><p>activer ou désactiver la règle <em>web admin (from LAN)</em></p></item>
    </list>
  </section>

  <section id="wan">
    <title>Accès depuis le WAN (activé par défaut)</title>
        <list>
      <item><p>se rendre sur <em>Firewall/Rules</em>, onglet <em>WAN</em></p></item>
      <item><p>activer ou désactiver la règle <em>web admin (from WAN)</em></p></item>
    </list>
  </section>

  <section id="ip">
    <title>Accès depuis un autre réseau</title>
        <list>
      <item><p>se rendre sur <em>Firewall/Rules</em>, onglet <em>WAN</em></p></item>
      <item><p>créer une règle en s'inspirant de<em>web admin (from WAN)</em>, typiquement en modifiant la source</p></item>
    </list>
  </section>

</section>

<section id="acces-ssh">
  <title>Accès SSH</title>
  <p>Par défaut, l'accès SSH au portail captif est désactivé. Il s'active depuis la page <em>System/Advanced</em> ou via la console (choix 14). Au moment de la première activation les clés SSH sont automatiquement créées pour le serveur.</p>

  <p>Une fois activé, il faut définir depuis quel réseau le service SSH est accessible. <em>Par défaut tout accès à SSH est interdit, même si le service est activé</em>. Il faut se rendre sur <em>Firewall/Rules</em> pour ouvrir l'accès au port SSH sur la machine (par exemple activer la règle « SSH (from WAN) » sur l'onglet WAN, ou désactiver la règle « reject SSH on CP » sur l'onglet LAN)</p>
</section>

<section id="aggregation-lagg">
  <title>Aggrégation LAGG</title>

  <note>
    <p>Pas encore testé, faute de matériel ad hoc.</p>
  </note> 
  
  <list>
    <item><p>Se rendre dans le menu <em>Interfaces/(assign)</em>, onglet <em>LAGG</em></p></item>
    <item><p>Créer un périphérique LAGG en sélectionnant les interfaces physiques associées</p></item>
    <item><p>Revenir sur <em>Interfaces/(assign)</em> et assigner WAN ou LAN à l'interface créée</p></item>
  </list>

</section>

</page>