199 lines
7.7 KiB
Plaintext
199 lines
7.7 KiB
Plaintext
<page xmlns="http://projectmallard.org/1.0/"
|
|
type="topic" style="task"
|
|
id="configuration-avancee" xml:lang="fr">
|
|
|
|
<info>
|
|
<link type="guide" xref="index" group="configuration-avancee"/>
|
|
<desc>Procédures pour établir quelques types de configuration au niveau d'Univnautes/pfSense.</desc>
|
|
<revision pkgversion="20120605" version="1.0" date="10-06-2012" status="final"/>
|
|
<credit type="author">
|
|
<name>Thomas Noël</name>
|
|
<email>tnoël@entrouvert.com</email>
|
|
</credit>
|
|
<credit type="maintainer">
|
|
<name>Pierre Cros</name>
|
|
<email>pcros@entrouvert.com</email>
|
|
</credit>
|
|
</info>
|
|
|
|
<title>Configuration avancée et optimisations</title>
|
|
|
|
<p>Cette page décrit les procédures pour établir quelques types de
|
|
configuration au niveau d'Univnautes/pfSense. Pour les paramètres de base, voir
|
|
la page <link type="topic" xref="configuration"/> .</p>
|
|
|
|
<section id="backup">
|
|
<title>Backup de la configuration</title>
|
|
<p>La page <em>Diagnostic/Backup</em> Restore permet de télécharger (backup)
|
|
le fichier de configuration du système, appelé <em>config.xml</em>. Ce
|
|
fichier contient toute la configuration de la machine, y compris la partie
|
|
Univnautes.</p>
|
|
<p>Pour la restauration, il faut utiliser cette même page. Une fois le
|
|
fichier <em>config.xml</em> restauré, il est conseillé de rebooter
|
|
complétement le système pour être certain que tous les services ont bien été
|
|
reconfigurés et le seront au prochain boot.</p>
|
|
</section>
|
|
|
|
<section id="blacklist-url">
|
|
<title>Liste noire d'URLs qui ne déclenchent pas le portail captif</title>
|
|
|
|
<p>Par défaut, les navigateurs des utilisateurs non connectés sont systématiquement
|
|
redirigés vers la page de connexion, quelque soit la première URL interrogée.</p>
|
|
|
|
<p>Cependant, les téléphones et tablettes récentes disposent en général d'un
|
|
grand nombre d'outils (apps, widget, etc.) qui tournent en tâche de fond et
|
|
font régulièrement des requêtes sur Internet : recherche de mise à jour,
|
|
téléchargement de flux d'information, etc..
|
|
</p>
|
|
|
|
<p>Si UnivNautes réagit à ces URLs, cela charge la machine pour rien. Il est
|
|
donc conseillé de configurer une liste noire des URLs qui ne doivent pas déclencher
|
|
la page de connexion. Ces URLs s'expriment sous forme d'<em>expressions régulières</em>.</p>
|
|
|
|
<p>Cela se fait sur la page « Services / Captive Portal », en bas de l'onglet
|
|
« UnivNautes ».</p>
|
|
|
|
<figure>
|
|
<title>Black list d'URLs</title>
|
|
<media type="image" mime="image/png" src="figures/blacklist-url.png"></media>
|
|
</figure>
|
|
|
|
<p>
|
|
Ci-dessous une liste noire fonctionnelle (en janvier 2014) :
|
|
</p>
|
|
|
|
<code>
|
|
.*\.xml$
|
|
.*\.cab$
|
|
.*\.crl$
|
|
^http://crl\.
|
|
^http://pingsl.avast.com/files/vpn_ssid.txt
|
|
^http://www\.airport\.us/
|
|
^http://www\.apple\.com/library/test/success\.html
|
|
^http://captive\.apple\.com/
|
|
^http://www\.itools\.info/
|
|
^http://www\.ibook\.info/
|
|
^http://www\.thinkdifferent\.us/
|
|
^http://configuration\.apple\.com/
|
|
^http://www\.appleiphonecell\.com/
|
|
^http://.*\.push\.apple\.com/
|
|
^http://images\.apple\.com/fr/main/rss/
|
|
^http://www\.msftncsi\.com/ncsi\.txt
|
|
^http://download\.microsoft\.com/
|
|
^http://.*\.update\.microsoft\.com/
|
|
^http://.*\.ws\.microsoft\.com/
|
|
^http://.*\.windowsupdate\.com/
|
|
^http://conn\.skype\.com/
|
|
^http://download\.mcafee\.com/
|
|
^http://ocsp\.
|
|
^http://rss\.
|
|
^http://www\.blackberry\.com/select/wifiloginsuccess/
|
|
</code>
|
|
|
|
</section>
|
|
|
|
<section id="multi">
|
|
<title>Installation de plusieurs instances côte à côte</title>
|
|
<p>
|
|
Afin d'obtenir une meilleure tolérance aux pannes, on peut installer plusieurs
|
|
instances d'UnivNautes côte à côte. Chaque instance :</p>
|
|
<list>
|
|
<item><p>utilise le même nom (par exemple eduspot.univ-abcd.fr), les mêmes
|
|
certificats HTTPS et SAML ;</p></item>
|
|
<item><p>dispose d'une IP WAN propre ;</p></item>
|
|
<item><p>diffuse en DHCP un réseau IP distinct de tous les autres sur le LAN.</p></item>
|
|
</list>
|
|
|
|
<figure>
|
|
<title>Multi-instances</title>
|
|
<media type="image" mime="image/png" src="figures/eduspot-ha.png"></media>
|
|
</figure>
|
|
<p>
|
|
Lorsqu'un client se connecte au réseau WiFi, il envoie une demande DHCP : une
|
|
des instance va lui répondre. A partir de là, le client est géré par une
|
|
instance (c'est sa DNS, sa passerelle).
|
|
</p>
|
|
|
|
<p>
|
|
Si les instances sont identiques (CPU, accès réseau, etc.) alors les clients
|
|
seront uniformément répartis sur les différentes instances.
|
|
</p>
|
|
|
|
<p>
|
|
Si une des instance tombe en panne ou passe en maintenance, les clients WiFi se
|
|
reconnecteront (nouvelle requête DHCP) et seront alors gérés par une des autres
|
|
instances disponibles.
|
|
</p>
|
|
|
|
</section>
|
|
|
|
<section id="nat">
|
|
<title>Suppression du NAT</title>
|
|
<p>Se rendre dans le menu <em>Firewall</em> : <em>NAT</em>, onglet <em>Outbound</em>.</p>
|
|
<p>Sélectionner le mode « Manual Outbound NAT rule generation (AON - Advanced Outbound NAT) » et cliquer sur le bouton <code>Save</code> à côté.</p>
|
|
<p>Supprimer toutes les lignes éventuellement présente au niveau des <em>Mappings</em></p>
|
|
<p>A la fin, un message « The NAT configuration has been changed. » apparait, cliquer sur le bouton <code>Apply changes</code> situé à sa droite. La fenêtre à ce moment ressemble à l'image ci-dessous :</p>
|
|
<figure>
|
|
<title>Suppression du NAT</title>
|
|
<media type="image" mime="image/png" src="figures/noNAT.png" >
|
|
</media>
|
|
</figure>
|
|
|
|
</section>
|
|
|
|
<section id="source">
|
|
<title>Source autorisée pour l'accès à l'interface web d'administration</title>
|
|
<p>L'interface d'administration est disponible en https sur le port 8443. Pour la rendre accessible ou non, il faut se rendre sur <em>Firewall/Rules</em> et activer ou désactiver le filtrage sur tcp/8443.</p>
|
|
|
|
<section id="lan">
|
|
<title>Accès depuis le LAN (activé par défaut, à supprimer en production)</title>
|
|
<list>
|
|
<item><p>se rendre sur <em>Firewall/Rules</em>, onglet <em>LAN</em></p></item>
|
|
<item><p>activer ou désactiver la règle <em>web admin (from LAN)</em></p></item>
|
|
</list>
|
|
</section>
|
|
|
|
<section id="wan">
|
|
<title>Accès depuis le WAN (activé par défaut)</title>
|
|
<list>
|
|
<item><p>se rendre sur <em>Firewall/Rules</em>, onglet <em>WAN</em></p></item>
|
|
<item><p>activer ou désactiver la règle <em>web admin (from WAN)</em></p></item>
|
|
</list>
|
|
</section>
|
|
|
|
<section id="ip">
|
|
<title>Accès depuis un autre réseau</title>
|
|
<list>
|
|
<item><p>se rendre sur <em>Firewall/Rules</em>, onglet <em>WAN</em></p></item>
|
|
<item><p>créer une règle en s'inspirant de<em>web admin (from WAN)</em>, typiquement en modifiant la source</p></item>
|
|
</list>
|
|
</section>
|
|
|
|
</section>
|
|
|
|
<section id="acces-ssh">
|
|
<title>Accès SSH</title>
|
|
<p>Par défaut, l'accès SSH au portail captif est désactivé. Il s'active depuis la page <em>System/Advanced</em> ou via la console (choix 14). Au moment de la première activation les clés SSH sont automatiquement créées pour le serveur.</p>
|
|
|
|
<p>Une fois activé, il faut définir depuis quel réseau le service SSH est accessible. <em>Par défaut tout accès à SSH est interdit, même si le service est activé</em>. Il faut se rendre sur <em>Firewall/Rules</em> pour ouvrir l'accès au port SSH sur la machine (par exemple activer la règle « SSH (from WAN) » sur l'onglet WAN, ou désactiver la règle « reject SSH on CP » sur l'onglet LAN)</p>
|
|
</section>
|
|
|
|
<section id="aggregation-lagg">
|
|
<title>Aggrégation LAGG</title>
|
|
|
|
<note>
|
|
<p>Pas encore testé, faute de matériel ad hoc.</p>
|
|
</note>
|
|
|
|
<list>
|
|
<item><p>Se rendre dans le menu <em>Interfaces/(assign)</em>, onglet <em>LAGG</em></p></item>
|
|
<item><p>Créer un périphérique LAGG en sélectionnant les interfaces physiques associées</p></item>
|
|
<item><p>Revenir sur <em>Interfaces/(assign)</em> et assigner WAN ou LAN à l'interface créée</p></item>
|
|
</list>
|
|
|
|
</section>
|
|
|
|
</page>
|
|
|
|
|