Réseau Wifi avec accès invité/identification

[barrot_95]

ce sont les prix TTC mais seulement pour les entreprises....

 

perso a la maison j'ai un edgemax switch 24 port + edgerouter ER-6P (cause besoin de QOS/shapping) mais sinon je serais en full unifi une interface et tu a tte les infos dedans  

[nasp]

Je suis passé en full UniFi il y a quelques semaines et c’est top.

[Nico]

J'ai déjà des 8 ports donc 1 avec le port passthrough, c'est nickel effectivement, surtout l'autoalimentation dessus et tout de même un port POE dispo.

[Nico]

@barrot_95, je ne savais pas pour le US-8-60, mince, dommage ça. Moi je mettrai une mesh dessus ou alors UAP-AC-PRO. Ca irait ça ?

Et possibilité de commander à ce prix là chez toi sans être une entreprise ?

 

Nasp oui, le fournisseur EuroDK j'ai vu, j'avais regardé la dessus, mais tout n'était pas dispo quand j'ai fais la commande de la page 1.

 

 

[barrot_95]

Le 09/11/2018 à 18:30, Nico a dit :

@barrot_95, je ne savais pas pour le US-8-60, mince, dommage ça. Moi je mettrai une mesh dessus ou alors UAP-AC-PRO. Ca irait ça ?

Et possibilité de commander à ce prix là chez toi sans être une entreprise ?

 

Nasp oui, le fournisseur EuroDK j'ai vu, j'avais regardé la dessus, mais tout n'était pas dispo quand j'ai fais la commande de la page 1.

 

 

Malheureusement non tu ne peut les prendres chez moi a moins de prendre un contrat avec nous au niveau internet telephonie, (je travaille pour une opérateur)

 

sinon regarde du coter de mhzshop (https://www.mhzshop.com/shop/Par-Fabricant/Ubiquiti-Networks/) mec support cool

 

on n'a au bureau un Switch 8 port Full poe et les uap ac pro fonctionne tres bien sans injecteur poe 

[nasp]

Chez moi les AC-PRO sont sur un US48-750 et un US16-150 et ça tourne sans soucis.

[Nico]

Pourquoi avoir prix un 750W, tu as tellement de périph POE ?

[nasp]

Au moins la moitié.

[Nico]

24, ah oui tout de même. C'est quoi, des cams/bornes/tél ?

[Nico]

Bon les pros du Unifi, existe t'il un moyen de stocker facilement les logs obligatoire pour HADOPI/Loi depuis les Unifi ? Ou les données stockées en activant les logs de base sont suffisant ?

Sinon j'ai trouvé une solution WNlogs spécialement fait pour Unifi, mais c'est 20,00 € par mois.

[barrot_95]

si tu parle des URL de navigation web (comme pour les hôtels ou autre) Ubiquiti n'a aucune solution et ne log rien de tt sa

 

la seul manière soit payer un boitier type TELMAT ou CloudSpot 

 

ou alors installer en plus un proxy transparent  

[Lazer]

Oui, voilà, faut un Proxy pour logguer les URL.

 

Par contre, ce n'est pas Hadopi, mais la LCEN je crois bien qui impose de logguer (Loi pour la confiance dans l'économie numérique)

[barrot_95]

la société https://www.cloudspot.fr/solution_wifi font de bonne solution nous somme entrain de la teste au boulot pour pouvoir attaquer le marcher des hotels etc...

 

pour info leur box sont des routeur mikritik et si tu a des bornes Wifi avec la possibiliter de faire plusieru SSID alors le SSID "invité" tu le fait passer dans le mikrotik

 

sinon installer une VM avec un proxy transparent si tu veut tt log

[nasp]

L'USG embarqué un proxy squid quid n’est pas géré via le contrôleur. Il peut être paramètrè en ligne de commande et activé via quelques règles de firewall.

[Nico]

La version Cloudspot me plait bien, pas trop chère par an en plus. Cela fonctionne bien ?

Il me faut un truc ultra simple 100% Waf, comme dit ensuite je file tout ça au gestionnaire de la salle pour qu'il soit autonome.

[kiwi]

Hello à tous,

 

Alors deux choses vis a vis des logs d'accès :

1- Logger les url passe dans le giron du RGPD (vie privée), surtout que si tu veux stocker les URL d'un site https, tu es obligé de faire un Man in the Middle, qui peux être donc passible d'un certain nombre de pb juridiques

2- ce qu'il faut stocker ce n'est pas les URL MAIS la correspondance :

  Adresse MAC (users?) -> IP interne (pas très utile, quoique) -> IP de sortie avec le ports de sortie -> IP destinataire + port -> proto

  Exemple :

  00:11:22:33:44:55,192.0.2.2:6400,193.17.XX.20:50030,145.242.11.26:443,6

 

(6=TCP pour le protocol voir /etc/protocols sur un linux)

 

Tout le reste n'est que du bullshit et n'est PAS autorisé par la loi (secret de la correspondance, eg metadonnées vs contenu).

D'autant plus que les URL te limitent a juste le port 80/443 ce qui est de TRES loin ce qu'on peux faire sur de l'internet.

 

Si tu as une correspondance Adresse MAC et utilisateur (email ? numéro de GSM ? CNI) là c'est mieux. (encore que limite au niveau RGPD accessoirement).

 

A noter que ces données ne DOIVENT pas être conservées plus d'un 1 ans (et moins d'un 1 ans).

 

Après c'est une obligation de moyens pas de résultat, si ton serveur de log s'est vautré la tronche juste au moment de la requête judiciaire (qui doit être envoyée signée par une autorité judiciaire, pas un coup de fil à la con), alors bah c'est pas grave...

 

A noter quand une demande comme ça arrive chez toi:

1- papier obligatoire

2- si non français then mv /dev/null

3- copie de la carte de police / autorité judiciaire prouvant que ce n'est pas une arnaque (déjà vécu en vrai)

4- demander où se trouve le gars que te contacte afin de vérifier (en passant par le standard que le mec existe vraiment).

 

Je sais c'est de la parano, mais justement si tu divulgue des information personnelles a un tier non accrédité, alors tu es responsable...

 

Après en pratique, je gère du wifi sur tout un pays, en 10 ans de la boite, il n'y a eu que 2 réquisitions judiciaires.... (ok c'est pas en France, mais sur les 3000 AP, ça donne une idée du risque, qui est proche de 0).

 

[Nico]

Oui, je pense bien.

C'est d'ailleurs pour ça que les solutions tout faite à 60,00 € par an me vont bien, rien à gérer.

 

Sinon j'ai un souci avec la partie ouverture de ports, cela ne veut pas :

 

Vraiment rien de spécial, j'ai aussi ajouté la règle de réponse au ping depuis le WAN, pareil cela ne passe pas...

Il faut activer autre chose ?

[Nico]

Le ping passe bien au final, mais la redirection de port ne veut rien savoir...

[barrot_95]

Le 01/12/2018 à 12:40, Nico a dit :

La version Cloudspot me plait bien, pas trop chère par an en plus. Cela fonctionne bien ?

Il me faut un truc ultra simple 100% Waf, comme dit ensuite je file tout ça au gestionnaire de la salle pour qu'il soit autonome.

oui fonctionne bien 

 

le plus de cloudspot c'est que les informations sont stocker chez eux

 

le routeur mikrotik stock les information et envoie les donnée dans leur cloud si jamais une requise arrive (ce qui et quand même rare comme l'indique @kiwi) un coup de file chez eux et il font le reste

 

 

il y a 38 minutes, Nico a dit :

Oui, je pense bien.

C'est d'ailleurs pour ça que les solutions tout faite à 60,00 € par an me vont bien, rien à gérer.

 

Sinon j'ai un souci avec la partie ouverture de ports, cela ne veut pas :

 

Vraiment rien de spécial, j'ai aussi ajouté la règle de réponse au ping depuis le WAN, pareil cela ne passe pas...

Il faut activer autre chose ?

As tu ouvert les ports coter firewall (WAN IN) ?

 

voici un schémas qui explique comment fonctionnel le firewall Ubiquiti gamme Unifi/EdgeMax

 

[Nico]

Oui, cela s'est ajouté tout seul :

 

[Nico]

Il doit y avoir un truc tout con mais quoi...

[Nico]

Faut il rebooter ou autre pour que les règles soient prises en compte ?

 

EDIT : On dirait que non, j'ai enlever les règles de ping et pourtant je ping toujours... Une idée ?

[Nico]

@barrot_95, il faut appliquer quelque chose qque part quand on change les règles ?

[barrot_95]

non c'est prit en compte en direct

 

normalement quand tu met les règles si tu va dans le menu "DEVICES" a gauche tu devrais voir le routeur Unifi passer en "provisionning"

 

tu peut montrer le LAN OUT ?

Modifié le 3 décembre 2018 par barrot_95

[Nico]

Ici :