Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
hostapd [Le 13/04/2011, 17:40] 89.156.206.239 [Configuration Dhcpd Serveur] |
hostapd [Le 11/09/2022, 12:04] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | {{tag>wifi réseau}} | ||
| + | ---- | ||
| ====== HostAP daemon ====== | ====== HostAP daemon ====== | ||
| Ligne 29: | Ligne 31: | ||
| - | Installation du daemon : | + | Installation depuis dépots officiel |
| - | <code> | + | |
| - | sudo apt-get install hostapd | + | <code>sudo apt-get -y install hostapd</code> |
| - | </code> | + | |
| - | Le fichier de configuration /etc/hostapd.conf contient tous les paramètres de configuration de votre du point d'accès Wi-Fi. | + | Le fichier de configuration **/etc/hostapd/hostapd.conf** contient tous les paramètres de configuration du point d'accès Wi-Fi. |
| La configuration minimale (Wi-Fi ouvert/OPEN) : | La configuration minimale (Wi-Fi ouvert/OPEN) : | ||
| Ligne 75: | Ligne 76: | ||
| Hostapd supporte les adaptateurs Wi-Fi utilisant les drivers madwifi, prism. | Hostapd supporte les adaptateurs Wi-Fi utilisant les drivers madwifi, prism. | ||
| + | === Authentification WPA/WPA2 === | ||
| + | |||
| + | Activez l'authentification en modifiant la clé auth_algs=1 | ||
| + | |||
| + | Avec Wi-Fi WPA (WPA-PSK-TKIP) : | ||
| + | <code> | ||
| + | wpa=1 | ||
| + | #wpa_psk=0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef | ||
| + | wpa_passphrase=passphrase | ||
| + | wpa_key_mgmt=WPA-PSK | ||
| + | wpa_pairwise=TKIP | ||
| + | </code> | ||
| + | |||
| + | Avec Wi-Fi WPA2 (WPA2-PSK-CCMP) : | ||
| + | <code> | ||
| + | wpa=2 | ||
| + | #wpa_psk=0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef | ||
| + | wpa_passphrase=passphrase | ||
| + | wpa_key_mgmt=WPA-PSK | ||
| + | wpa_pairwise=CCMP | ||
| + | rsn_pairwise=CCMP | ||
| + | </code> | ||
| - | == Filtrage MAC == | + | === Filtrage MAC === |
| Activez le Filtrage des adresses MAC des clients sans fil : | Activez le Filtrage des adresses MAC des clients sans fil : | ||
| Ligne 99: | Ligne 122: | ||
| </code> | </code> | ||
| - | == Lancement de hostapd == | + | === Lancement de hostapd === |
| Lancement de hostapd : | Lancement de hostapd : | ||
| <code> | <code> | ||
| - | hostapd /etc/hostapd/hostapd.conf & | + | hostapd /etc/hostapd/hostapd.conf |
| </code> | </code> | ||
| + | ==== Configuration d'un point d'accès en WI-FI 802.11n (support MIMO) ==== | ||
| - | == Exemple WPA/WPA2 == | + | L'agrégation de la bande passante (HT) se base sur l'addition de deux canaux en 20 MHz chacun, pour obtenir une large bande passante de communication de 40MHz. L'intervalle de garde (GI) en 800 ns ou en 400 ns détermine le délai utilisé pour s'assurer qu'une transmission n'interfère par avec d'autres (le délai est automatiquement sélectionné en fonction de la qualité du lien entre AP et son client Wi-Fi N) . Le nombre de flux avec antennes utilisées, active le mode MIMO (Multiple Input, Multiple Output) qui signifie de multiple entrées et sorties dans ce mode de communication, anciennement "mode diversity". Tous ces paramètres détermineront votre débit final, affecté par un dernier paramètre, les capacités matérielles (la puce/chipset) de cryptage (AES, TKIP, WEP) de votre adaptateur WI-FI 802.11n. Les débits montent de 6.5 Mbps minimum à 300 Mbps et plus en WI-FI 802.11n, par exemple un AP MIMO 2x2, donc 2 flux en réception (RX) et 2 en transmission (TX) est capable de soutenir un client MIMO, aussi en 2x2, à 300 Mbps sur une courte distance. |
| - | Exemple complet Wi-Fi WPA (WPA-PSK-TKIP) : | + | Tableau montrant l'impact des modes HT20 / HT40 GI (guard interval) et du nombre de flux sur le débit du réseau, avec chaque fois la meilleur modulation possible 64-QAM : \\ |
| - | <code> | + | ^Bande passante ^ ^HT 20MHz ^HT 40MHz^ ^ |
| - | ##### WPA/IEEE 802.11i configuration ########################################## | + | |**Nombre de Flux** |800 ns Gi |400 ns Gi |800 ns Gi |400 ns Gi| |
| + | |1 flux |65 Mbps |75 Mbps |135 Mbps |150 Mbps| | ||
| + | |2 flux |130 Mbps |150 Mbps |270 Mbps |300 Mbps| | ||
| + | |3 flux |195 Mbps |225 Mbps |405 Mbps |450 Mbps| | ||
| + | |4 flux |260 Mbps |290 Mbps |540 Mbps |600 Mbps| | ||
| - | # Enable WPA. Setting this variable configures the AP to require WPA (either | + | Tableau des canaux dans le mode HT40 inférieur/supérieur : \\ |
| - | # WPA-PSK or WPA-RADIUS/EAP based on other configuration). For WPA-PSK, either | + | ^fréquences ^ HT40- ^ HT40+ ^ |
| - | # wpa_psk or wpa_passphrase must be set and wpa_key_mgmt must include WPA-PSK. | + | |2.4 GHz |5-13 |1-7 (1-9 en Europe/Japon)| |
| - | # For WPA-RADIUS/EAP, ieee8021x must be set (but without dynamic WEP keys), | + | |5 GHz |40,48,56,64 |36,44,52,60| |
| - | # RADIUS authentication server must be configured, and WPA-EAP must be included | + | |
| - | # in wpa_key_mgmt. | + | |
| - | # This field is a bit field that can be used to enable WPA (IEEE 802.11i/D3.0) | + | |
| - | # and/or WPA2 (full IEEE 802.11i/RSN): | + | |
| - | # bit0 = WPA | + | |
| - | # bit1 = IEEE 802.11i/RSN (WPA2) (dot11RSNAEnabled) | + | |
| - | wpa=1 | + | |
| - | # WPA pre-shared keys for WPA-PSK. This can be either entered as a 256-bit | + | Les règles sont les suivantes : vous ne devez pas paramètrer les canaux 1,2,3 ou 4 dans le mode HT40 inférieur, et vous ne devez pas paramétrer les canaux 10,11,12 ou 13 dans le mode HT 40 supérieur. Les canaux 5,6 ou 7 marcheront donc dans les deux modes HT40 -/+. |
| - | # secret in hex format (64 hex digits), wpa_psk, or as an ASCII passphrase | + | |
| - | # (8..63 characters) that will be converted to PSK. This conversion uses SSID | + | |
| - | # so the PSK changes when ASCII passphrase is used and the SSID is changed. | + | |
| - | # wpa_psk (dot11RSNAConfigPSKValue) | + | |
| - | # wpa_passphrase (dot11RSNAConfigPSKPassPhrase) | + | |
| - | #wpa_psk=0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef | + | |
| - | wpa_passphrase=passphrase | + | |
| - | # Optionally, WPA PSKs can be read from a separate text file (containing list | ||
| - | # of (PSK,MAC address) pairs. This allows more than one PSK to be configured. | ||
| - | # Use absolute path name to make sure that the files can be read on SIGHUP | ||
| - | # configuration reloads. | ||
| - | #wpa_psk_file=/etc/hostapd/hostapd.wpa_psk | ||
| - | # Set of accepted key management algorithms (WPA-PSK, WPA-EAP, or both). The | + | Petit rappel du mode standard IEEE 802.11g, entre 2,4GHz et 2,5GHz il y a 100Mhz et il y a 14 canaux de 20MHz espacés de 5MHz seulement, et se chevauchant obligatoirement dans cette espace de la bande. En mode 802.11n la bande passant additionné de 2 canaux couvre 40MHz, chevauchant par conséquent beaucoup plus de canaux entre 2,4GHz et 2,5GHz. |
| - | # entries are separated with a space. WPA-PSK-SHA256 and WPA-EAP-SHA256 can be | + | |
| - | # added to enable SHA256-based stronger algorithms. | + | |
| - | # (dot11RSNAConfigAuthenticationSuitesTable) | + | |
| - | #wpa_key_mgmt=WPA-PSK WPA-EAP | + | |
| - | wpa_key_mgmt=WPA-PSK | + | |
| - | # Set of accepted cipher suites (encryption algorithms) for pairwise keys | + | Paramètrage Wi-Fi N en mode IEEE 802.11g (2,4GHz) et channel : |
| - | # (unicast packets). This is a space separated list of algorithms: | + | <code> |
| - | # CCMP = AES in Counter mode with CBC-MAC [RFC 3610, IEEE 802.11i/D7.0] | + | # mode Wi-Fi |
| - | # TKIP = Temporal Key Integrity Protocol [IEEE 802.11i/D7.0] | + | hw_mode=g |
| - | # Group cipher suite (encryption algorithm for broadcast and multicast frames) | + | channel=6 |
| - | # is automatically selected based on this configuration. If only CCMP is | + | </code> |
| - | # allowed as the pairwise cipher, group cipher will also be CCMP. Otherwise, | + | |
| - | # TKIP will be used as the group cipher. | + | |
| - | # (dot11RSNAConfigPairwiseCiphersTable) | + | |
| - | # Pairwise cipher for WPA (v1) (default: TKIP) | + | |
| - | wpa_pairwise=TKIP | + | |
| - | # Pairwise cipher for RSN/WPA2 (default: use wpa_pairwise value) | + | |
| - | #rsn_pairwise=CCMP | + | |
| - | # Time interval for rekeying GTK (broadcast/multicast encryption keys) in | + | Paramètrage Wi-Fi N en mode IEEE 802.11a (5GHz) et channel : |
| - | # seconds. (dot11RSNAConfigGroupRekeyTime) | + | <code> |
| - | #wpa_group_rekey=600 | + | # mode Wi-Fi |
| + | hw_mode=a | ||
| + | channel=36 | ||
| + | </code> | ||
| - | # Rekey GTK when any STA that possesses the current GTK is leaving the BSS. | + | Hostapd implémente des règles très strictes en 802.11n en particulier IEEE_802.11n Draft 7.0 section 11.14.3.2. Au démarrage hostap scannera donc les APs HT20/40 actifs dans son environnement présent, et déterminera si votre fréquence primaire est en adéquation avec la fréquences secondaire conséquente du choix canal inférieur/supérieur pour chaque AP présent. Si un seul de ces APs environnants est détecté chevauchant sur vos fréquences primaire et secondaire, hostapd ne se lancera alors qu'en mode HT20, et uniquement dans ce mode 20MHz. Vous remarquerez sûrement dans un environnement non contrôlé (urbain et dense), que certaines BOX AP/router polluent et perturbent allègrement le 2,4GHz (la bande des 5GHz est bien plus calme), ne respectant pas certaines règles du 802.11n en 40MHz... Ce ne doit pas être la règle du premier arrivé qui doit être servi en premier en 40MHz et ceci sans limite de temps! |
| - | # (dot11RSNAConfigGroupRekeyStrict) | + | |
| - | #wpa_strict_rekey=1 | + | |
| - | # Time interval for rekeying GMK (master key used internally to generate GTKs | + | Ce patch est fonctionnel pour activer le mode 40MHz dans un environnement non contrôlé et perturbé, fichier IEEE_802.11n_D7.0_11.14.3.2.patch : |
| - | # (in seconds). | + | <code c> |
| - | #wpa_gmk_rekey=86400 | + | hostapd-0.7.3/hostapd# diff -ur ../src.orign/ap/hw_features.c ../src/ap/hw_features.c > IEEE_802.11n_D7.0_11.14.3.2.patch |
| - | + | --- ../src.orign/ap/hw_features.c 2011-11-01 21:05:04.041307566 +0100 | |
| - | # Maximum lifetime for PTK in seconds. This can be used to enforce rekeying of | + | +++ ../src/ap/hw_features.c 2011-11-01 23:01:08.873747763 +0100 |
| - | # PTK to mitigate some attacks against TKIP deficiencies. | + | @@ -378,8 +378,17 @@ |
| - | #wpa_ptk_rekey=600 | + | sec = pri + 20; |
| - | + | } | |
| - | # Enable IEEE 802.11i/RSN/WPA2 pre-authentication. This is used to speed up | + | |
| - | # roaming be pre-authenticating IEEE 802.1X/EAP part of the full RSN | + | - if ((pri < affected_start || pri > affected_end) && |
| - | # authentication and key handshake before actually associating with a new AP. | + | - (sec < affected_start || sec > affected_end)) |
| - | # (dot11RSNAPreauthenticationEnabled) | + | + wpa_printf(MSG_DEBUG, "Tested BSS " MACSTR |
| - | #rsn_preauth=1 | + | + " <%d,%d> (pri=%d%c sec=%d) vs. <%d,%d>", |
| - | # | + | + MAC2STR(bss->bssid), |
| - | # Space separated list of interfaces from which pre-authentication frames are | + | + pri, sec, pri_chan, |
| - | # accepted (e.g., 'eth0' or 'eth0 wlan0wds0'. This list should include all | + | + sec > pri ? '+' : '-', |
| - | # interface that are used for connections to other APs. This could include | + | + sec_chan, pri_freq, sec_freq); |
| - | # wired interfaces and WDS links. The normal wireless data interface towards | + | + |
| - | # associated stations (e.g., wlan0) should not be added, since | + | + if ( ((pri < affected_start || pri > affected_end) && |
| - | # pre-authentication is only used with APs other than the currently associated | + | + (sec < affected_start || sec > affected_end)) || |
| - | # one. | + | + ((pri > affected_start && sec > affected_end) || //correction for <2447,2467> (chan=8+) vs. <2437,2417> |
| - | #rsn_preauth_interfaces=eth0 | + | + (pri < affected_start && sec < affected_end)) ) // and reverse |
| - | + | continue; /* not within affected channel range */ | |
| - | # peerkey: Whether PeerKey negotiation for direct links (IEEE 802.11e) is | + | |
| - | # allowed. This is only used with RSN/WPA2. | + | wpa_printf(MSG_DEBUG, "Neighboring BSS: " MACSTR |
| - | # 0 = disabled (default) | + | @@ -451,7 +460,14 @@ |
| - | # 1 = enabled | + | iface->conf->secondary_channel = 0; |
| - | #peerkey=1 | + | iface->conf->ht_capab &= ~HT_CAP_INFO_SUPP_CHANNEL_WIDTH_SET; |
| - | + | } | |
| - | # ieee80211w: Whether management frame protection (MFP) is enabled | + | - |
| - | # 0 = disabled (default) | + | + else wpa_printf(MSG_INFO, "20/40 MHz permitted on " |
| - | # 1 = optional | + | + "channel pri=%d%c sec=%d/%d ", |
| - | # 2 = required | + | + iface->conf->channel, |
| - | #ieee80211w=0 | + | + iface->conf->channel > iface->conf->secondary_channel ? '+' : '-', |
| - | + | + iface->conf->channel + | |
| - | # Association SA Query maximum timeout (in TU = 1.024 ms; for MFP) | + | + iface->conf->secondary_channel, |
| - | # (maximum time to wait for a SA Query response) | + | + iface->conf->channel + |
| - | # dot11AssociationSAQueryMaximumTimeout, 1...4294967295 | + | + iface->conf->secondary_channel * 4); |
| - | #assoc_sa_query_max_timeout=1000 | + | hostapd_setup_interface_complete(iface, 0); |
| - | + | } | |
| - | # Association SA Query retry timeout (in TU = 1.024 ms; for MFP) | + | |
| - | # (time between two subsequent SA Query requests) | + | |
| - | # dot11AssociationSAQueryRetryTimeout, 1...4294967295 | + | |
| - | #assoc_sa_query_retry_timeout=201 | + | |
| - | + | ||
| - | + | ||
| - | # okc: Opportunistic Key Caching (aka Proactive Key Caching) | + | |
| - | # Allow PMK cache to be shared opportunistically among configured interfaces | + | |
| - | # and BSSes (i.e., all configurations within a single hostapd process). | + | |
| - | # 0 = disabled (default) | + | |
| - | # 1 = enabled | + | |
| - | #okc=1 | + | |
| </code> | </code> | ||
| - | Exemple complet Wi-Fi WPA2 (WPA2-PSK-CCMP) : | + | Exemple de configuration WI-FI 802.11n : |
| <code> | <code> | ||
| - | ##### WPA/IEEE 802.11i configuration ########################################## | + | ieee80211n=1 |
| + | ht_capab=[HT40+][SHORT-GI-40][RX-STBC1][DSSS_CCK-40][MAX-AMSDU-3839] | ||
| + | </code> | ||
| - | # Enable WPA. Setting this variable configures the AP to require WPA (either | + | Ici nous utilisons les modes HT20/HT40 supérieur, avec un intervalle de garde court en 40 MHz, avec 1 seul flux spatial, avec prise en charge du DSSS/CCK Mode en 40 MHz, avec un AMSDU de longueur maximum à 3839 bytes (par défaut). Canal 6 avec cryptage WPA2-PSK-CCMP configuré plus haut dans la config de hostapd. |
| - | # WPA-PSK or WPA-RADIUS/EAP based on other configuration). For WPA-PSK, either | + | |
| - | # wpa_psk or wpa_passphrase must be set and wpa_key_mgmt must include WPA-PSK. | + | |
| - | # For WPA-RADIUS/EAP, ieee8021x must be set (but without dynamic WEP keys), | + | |
| - | # RADIUS authentication server must be configured, and WPA-EAP must be included | + | |
| - | # in wpa_key_mgmt. | + | |
| - | # This field is a bit field that can be used to enable WPA (IEEE 802.11i/D3.0) | + | |
| - | # and/or WPA2 (full IEEE 802.11i/RSN): | + | |
| - | # bit0 = WPA | + | |
| - | # bit1 = IEEE 802.11i/RSN (WPA2) (dot11RSNAEnabled) | + | |
| - | wpa=2 | + | |
| - | # WPA pre-shared keys for WPA-PSK. This can be either entered as a 256-bit | + | Utilisez la commande "iw list" pour déterminer les capacités de votre adaptateur en Wi-Fi 802.11n : |
| - | # secret in hex format (64 hex digits), wpa_psk, or as an ASCII passphrase | + | <code> |
| - | # (8..63 characters) that will be converted to PSK. This conversion uses SSID | + | # iw list |
| - | # so the PSK changes when ASCII passphrase is used and the SSID is changed. | + | Wiphy phy1 |
| - | # wpa_psk (dot11RSNAConfigPSKValue) | + | Band 1: |
| - | # wpa_passphrase (dot11RSNAConfigPSKPassPhrase) | + | Capabilities: 0x114e |
| - | #wpa_psk=0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef | + | HT20/HT40 |
| - | wpa_passphrase=passphrase | + | SM Power Save disabled |
| + | RX HT40 SGI | ||
| + | RX STBC 1-stream | ||
| + | Max AMSDU length: 3839 bytes | ||
| + | DSSS/CCK HT40 | ||
| + | Maximum RX AMPDU length 65535 bytes (exponent: 0x003) | ||
| + | Minimum RX AMPDU time spacing: 8 usec (0x06) | ||
| + | HT TX/RX MCS rate indexes supported: 0-15 | ||
| + | [...] | ||
| + | </code> | ||
| - | # Optionally, WPA PSKs can be read from a separate text file (containing list | + | Attention aux messages d'erreur lors du lancement de hostapd : |
| - | # of (PSK,MAC address) pairs. This allows more than one PSK to be configured. | + | * Driver does not support configured HT capability [SHORT-GI-20] |
| - | # Use absolute path name to make sure that the files can be read on SIGHUP | + | * Driver does not support configured HT capability [DSSS_CCK-40] |
| - | # configuration reloads. | + | * Driver does not support configured HT capability [RX-STBC*] |
| - | #wpa_psk_file=/etc/hostapd/hostapd.wpa_psk | + | * HT (IEEE 802.11n) with WPA/WPA2 requires CCMP to be enabled |
| - | # Set of accepted key management algorithms (WPA-PSK, WPA-EAP, or both). The | ||
| - | # entries are separated with a space. WPA-PSK-SHA256 and WPA-EAP-SHA256 can be | ||
| - | # added to enable SHA256-based stronger algorithms. | ||
| - | # (dot11RSNAConfigAuthenticationSuitesTable) | ||
| - | #wpa_key_mgmt=WPA-PSK WPA-EAP | ||
| - | wpa_key_mgmt=WPA-PSK | ||
| - | # Set of accepted cipher suites (encryption algorithms) for pairwise keys | + | N'oubliez pas, vous êtes limités aux capacités matérielles de votre Point d'Accès en 802.11n (AP) et de vos clients (stations) en Wi-Fi N, ainsi qu'aux limites du driver Wi-Fi N que vous utilisez... |
| - | # (unicast packets). This is a space separated list of algorithms: | + | |
| - | # CCMP = AES in Counter mode with CBC-MAC [RFC 3610, IEEE 802.11i/D7.0] | + | |
| - | # TKIP = Temporal Key Integrity Protocol [IEEE 802.11i/D7.0] | + | |
| - | # Group cipher suite (encryption algorithm for broadcast and multicast frames) | + | |
| - | # is automatically selected based on this configuration. If only CCMP is | + | |
| - | # allowed as the pairwise cipher, group cipher will also be CCMP. Otherwise, | + | |
| - | # TKIP will be used as the group cipher. | + | |
| - | # (dot11RSNAConfigPairwiseCiphersTable) | + | |
| - | # Pairwise cipher for WPA (v1) (default: TKIP) | + | |
| - | wpa_pairwise=TKIP CCMP | + | |
| - | # Pairwise cipher for RSN/WPA2 (default: use wpa_pairwise value) | + | |
| - | rsn_pairwise=CCMP | + | |
| - | # Time interval for rekeying GTK (broadcast/multicast encryption keys) in | + | Lancement de hostapd en Wi-Fi N avec son fichier de configuration : |
| - | # seconds. (dot11RSNAConfigGroupRekeyTime) | + | <code> |
| - | #wpa_group_rekey=600 | + | hostapd /etc/hostapd/hostapd.conf |
| - | + | ||
| - | # Rekey GTK when any STA that possesses the current GTK is leaving the BSS. | + | |
| - | # (dot11RSNAConfigGroupRekeyStrict) | + | |
| - | #wpa_strict_rekey=1 | + | |
| - | + | ||
| - | # Time interval for rekeying GMK (master key used internally to generate GTKs | + | |
| - | # (in seconds). | + | |
| - | #wpa_gmk_rekey=86400 | + | |
| - | + | ||
| - | # Maximum lifetime for PTK in seconds. This can be used to enforce rekeying of | + | |
| - | # PTK to mitigate some attacks against TKIP deficiencies. | + | |
| - | #wpa_ptk_rekey=600 | + | |
| - | + | ||
| - | # Enable IEEE 802.11i/RSN/WPA2 pre-authentication. This is used to speed up | + | |
| - | # roaming be pre-authenticating IEEE 802.1X/EAP part of the full RSN | + | |
| - | # authentication and key handshake before actually associating with a new AP. | + | |
| - | # (dot11RSNAPreauthenticationEnabled) | + | |
| - | #rsn_preauth=1 | + | |
| - | # | + | |
| - | # Space separated list of interfaces from which pre-authentication frames are | + | |
| - | # accepted (e.g., 'eth0' or 'eth0 wlan0wds0'. This list should include all | + | |
| - | # interface that are used for connections to other APs. This could include | + | |
| - | # wired interfaces and WDS links. The normal wireless data interface towards | + | |
| - | # associated stations (e.g., wlan0) should not be added, since | + | |
| - | # pre-authentication is only used with APs other than the currently associated | + | |
| - | # one. | + | |
| - | #rsn_preauth_interfaces=eth0 | + | |
| - | + | ||
| - | # peerkey: Whether PeerKey negotiation for direct links (IEEE 802.11e) is | + | |
| - | # allowed. This is only used with RSN/WPA2. | + | |
| - | # 0 = disabled (default) | + | |
| - | # 1 = enabled | + | |
| - | #peerkey=1 | + | |
| - | + | ||
| - | # ieee80211w: Whether management frame protection (MFP) is enabled | + | |
| - | # 0 = disabled (default) | + | |
| - | # 1 = optional | + | |
| - | # 2 = required | + | |
| - | #ieee80211w=0 | + | |
| - | + | ||
| - | # Association SA Query maximum timeout (in TU = 1.024 ms; for MFP) | + | |
| - | # (maximum time to wait for a SA Query response) | + | |
| - | # dot11AssociationSAQueryMaximumTimeout, 1...4294967295 | + | |
| - | #assoc_sa_query_max_timeout=1000 | + | |
| - | + | ||
| - | # Association SA Query retry timeout (in TU = 1.024 ms; for MFP) | + | |
| - | # (time between two subsequent SA Query requests) | + | |
| - | # dot11AssociationSAQueryRetryTimeout, 1...4294967295 | + | |
| - | #assoc_sa_query_retry_timeout=201 | + | |
| - | + | ||
| - | + | ||
| - | # okc: Opportunistic Key Caching (aka Proactive Key Caching) | + | |
| - | # Allow PMK cache to be shared opportunistically among configured interfaces | + | |
| - | # and BSSes (i.e., all configurations within a single hostapd process). | + | |
| - | # 0 = disabled (default) | + | |
| - | # 1 = enabled | + | |
| - | #okc=1 | + | |
| </code> | </code> | ||
| - | |||
| - | |||
| ===== Création d'un point d'accès Wi-Fi & Partage de connexion Internet ===== | ===== Création d'un point d'accès Wi-Fi & Partage de connexion Internet ===== | ||
| - | Cette exemple vous permettra de créer un point d'accès Wi-Fi sur une interface wlan0 (Wireless LAN) avec un partage de la connexion Internet d'une autre interface wlan6 (mais aussi bien eth0...) | + | Cet exemple vous permettra de créer un point d'accès Wi-Fi sur une interface wlan0 (Wireless LAN) avec un partage de la connexion Internet d'une autre interface wlan6 (mais aussi bien eth0...) |
| + | |||
| + | {{:reseau:wifi_ap_1_.jpg}} | ||
| '' | '' | ||
| Ligne 349: | Ligne 261: | ||
| Ce type de configuration WI-Fi permet à des adaptateurs WI-Fi installés sur des périphériques, comme votre WebPhone, votre Blu-Ray Disc ou bien votre Téléviseur par exemple, d'accéder à votre réseau local maison et à Internet. De distribuer en Wi-Fi tout type de contenu, comme de la vidéo, images, musiques par l'intermédiaire de [[minidlna]] par exemple... | Ce type de configuration WI-Fi permet à des adaptateurs WI-Fi installés sur des périphériques, comme votre WebPhone, votre Blu-Ray Disc ou bien votre Téléviseur par exemple, d'accéder à votre réseau local maison et à Internet. De distribuer en Wi-Fi tout type de contenu, comme de la vidéo, images, musiques par l'intermédiaire de [[minidlna]] par exemple... | ||
| + | ==== Configuration de l'interface WLAN ==== | ||
| + | |||
| + | Il nous faut activer l'interface wlan0 sur une adresse IP, prenons l'IP 192.168.0.1 et un masque 255.255.255.0 : | ||
| + | |||
| + | <code> | ||
| + | sudo ifconfig wlan0 down | ||
| + | sudo ifconfig wlan0 192.168.0.1 netmask 255.255.255.0 up | ||
| + | </code> | ||
| + | |||
| + | ==== Configuration du daemon hostapd ==== | ||
| + | |||
| + | Lancement du daemon hostapd avec son fichier de configuration pointant sur l'interface wlan0 : | ||
| + | <code> | ||
| + | sudo hostapd /etc/hostapd/hostapd.conf & | ||
| + | </code> | ||
| ==== Configuration Dhcpd Serveur ==== | ==== Configuration Dhcpd Serveur ==== | ||
| Ligne 354: | Ligne 281: | ||
| La création d'un point d'accès Wi-Fi nécessite un sous-réseau configuré derrière ce spot Wi-Fi. Un serveur DHCP distribuera automatiquement des adresses aux clients sans fil. Configurons le serveur dhcpd-server avec un sous-réseau ayant pour adresse et masque 192.168.0.0/24. | La création d'un point d'accès Wi-Fi nécessite un sous-réseau configuré derrière ce spot Wi-Fi. Un serveur DHCP distribuera automatiquement des adresses aux clients sans fil. Configurons le serveur dhcpd-server avec un sous-réseau ayant pour adresse et masque 192.168.0.0/24. | ||
| - | Le fichier de configuration /etc/dhcp3/dhcpd.conf | + | Le fichier de configuration /etc/dhcp/dhcpd.conf |
| <code> | <code> | ||
| Ligne 376: | Ligne 303: | ||
| </code> | </code> | ||
| - | Lancement de dhcpd-server : | + | Lancement de dhcpd-server : |
| <code> | <code> | ||
| - | dhcpd3 -d -f -pf /var/run/dhcp3-server/dhcpd.pid -cf /etc/dhcp3/dhcpd.conf wlan0 & | + | sudo dhcpd -d -f -pf /var/run/dhcp-server/dhcpd.pid -cf /etc/dhcp/dhcpd.conf wlan0 & |
| </code> | </code> | ||
| ==== Configuration Dnsmasq Serveur ==== | ==== Configuration Dnsmasq Serveur ==== | ||
| - | Notre sous-réseau étant créé, il ne reste plus qu'à configurer un serveur de cache DNS sur notre interface, qui transformera toute demande d'un domaine en adresse Ip. | + | Notre sous-réseau étant créé, il ne reste plus qu'à configurer un serveur de cache DNS sur notre interface, qui transformera toute demande d'un domaine en adresse Ip. |
| Attention notre DNS ne fait que lire le fichier '/etc/resolv.conf' déjà alimenté de serveur DNS par une autre interface ayant Internet. | Attention notre DNS ne fait que lire le fichier '/etc/resolv.conf' déjà alimenté de serveur DNS par une autre interface ayant Internet. | ||
| Ligne 400: | Ligne 327: | ||
| Bien que dnsmasq puisse distribuer des adresses IP d'un sous-réseau, nous n'utiliserons pas cette fonctionnalité puisque nous utilisons déjà dhcpd-server. | Bien que dnsmasq puisse distribuer des adresses IP d'un sous-réseau, nous n'utiliserons pas cette fonctionnalité puisque nous utilisons déjà dhcpd-server. | ||
| - | Lancement de dnsmasq : | + | Lancement de dnsmasq : |
| <code> | <code> | ||
| - | dnsmasq -x /var/run/dnsmasq.pid -C /etc/dnsmasq.conf | + | sudo dnsmasq -x /var/run/dnsmasq.pid -C /etc/dnsmasq.conf |
| </code> | </code> | ||
| ==== Configuration de IP forwarding ==== | ==== Configuration de IP forwarding ==== | ||
| - | Notre interface wlan nouvellement créée a besoin de communiquer avec notre seconde interface ayant Internet, nous devons configurer l'IP forwarding. | + | Notre interface wlan nouvellement créée a besoin de communiquer avec notre seconde interface ayant Internet, nous devons configurer l'IP forwarding. |
| Activez la prise en charge de l'IP forwarding, pour faire suivre les paquets d'une interface à l'autre : | Activez la prise en charge de l'IP forwarding, pour faire suivre les paquets d'une interface à l'autre : | ||
| Ligne 418: | Ligne 345: | ||
| Ou bien si vous voulez rendre cela permanent : | Ou bien si vous voulez rendre cela permanent : | ||
| - | Editez le fichier /etc/sysctl.conf et décommentez la ligne : | + | Éditez le fichier /etc/sysctl.conf et dé-commentez la ligne : |
| <code> | <code> | ||
| # Uncomment the next line to enable packet forwarding for IPv4 | # Uncomment the next line to enable packet forwarding for IPv4 | ||
| Ligne 433: | Ligne 360: | ||
| <code>sudo modprobe ipt_MASQUERADE</code> | <code>sudo modprobe ipt_MASQUERADE</code> | ||
| - | === Configuration du Firewall avec iptable === | + | === Configuration du Firewall avec iptables === |
| Activer la mascarade sur l'interface partageant Internet : | Activer la mascarade sur l'interface partageant Internet : | ||
| Ligne 447: | Ligne 374: | ||
| <code>sudo iptables -A INPUT -s 192.168.0.0/24 --jump ACCEPT</code> | <code>sudo iptables -A INPUT -s 192.168.0.0/24 --jump ACCEPT</code> | ||
| - | === Configuration du Firewall avec Ufw === | + | === Configuration du Firewall avec Ufw === |
| - | + | ||
| + | En premier lieux, il faut changer la règle par défaut du transfert de paquets d'une interface à l'autre dans ufw.\\ | ||
| + | Editer le fichier /etc/default/ufw et modifier la clé DEFAULT_FORWARD_POLICY de DROP en ACCEPT : | ||
| + | <code>DEFAULT_FORWARD_POLICY="ACCEPT"</code> | ||
| Editer le fichier /etc/ufw/sysctl.conf qui doit contenir ceci pour activer l'IP forwarding : | Editer le fichier /etc/ufw/sysctl.conf qui doit contenir ceci pour activer l'IP forwarding : | ||
| <code> | <code> | ||
| Ligne 454: | Ligne 385: | ||
| </code> | </code> | ||
| - | Editer le fichier /etc/ufw/before.rules qui contient les règles de Ufw : | + | Éditer le fichier /etc/ufw/before.rules qui contient les règles de Ufw : |
| | | ||
| - | Juste après l'entête du fichier ajouter une nouvelle section NAT : | + | Juste après l'entête du fichier ajouter une nouvelle section NAT : |
| <code> | <code> | ||
| # nat Table rules | # nat Table rules | ||
| Ligne 469: | Ligne 400: | ||
| </code> | </code> | ||
| - | Dans la section *filter ajoutez : | + | Dans la section *filter ajoutez : |
| <code> | <code> | ||
| -A ufw-before-forward -m state --state RELATED,ESTABLISHED -j ACCEPT | -A ufw-before-forward -m state --state RELATED,ESTABLISHED -j ACCEPT | ||
| Ligne 489: | Ligne 420: | ||
| Fichier bash wifi_ap.sh | Fichier bash wifi_ap.sh | ||
| - | <code> | + | <code bash> |
| #!/bin/bash | #!/bin/bash | ||
| #Description: Création d'un point d'accès wifi sur une interface wlan et partage la connexion Internet d'une autre interface avec celle-ci. | #Description: Création d'un point d'accès wifi sur une interface wlan et partage la connexion Internet d'une autre interface avec celle-ci. | ||
| - | #Requirements: Necessite les paquets hostapd dhcp3-server dhcp3-common dhcp3-client dnsmasq dnsmasq-base macchanger | + | #Requirements: Necessite les paquets hostapd isc-dhcp-server isc-dhcp-common isc-dhcp-client dnsmasq dnsmasq-base macchanger |
| #Optionnel: paquet macchanger optionnel | #Optionnel: paquet macchanger optionnel | ||
| #Auteur: Nexus6[at]altern.org 01.12.2010 | #Auteur: Nexus6[at]altern.org 01.12.2010 | ||
| - | ### WARNING : kill hostapd dnsmasq & dhcpd3 à la fin... | + | ### WARNING : kill hostapd dnsmasq & dhcpd à la fin... |
| # Configuration des interfaces | # Configuration des interfaces | ||
| Ligne 524: | Ligne 455: | ||
| #Mode Debug Dhcp ? | #Mode Debug Dhcp ? | ||
| DBG="-d" | DBG="-d" | ||
| - | #DBG="" #Ligne à décommenter pour désactiver le debug du serveur dhcpd | + | DBG="" #Ligne à décommenter pour désactiver le debug du serveur dhcpd |
| Ligne 556: | Ligne 487: | ||
| fi | fi | ||
| - | dhcpd3=$(which dhcpd3) | + | dhcpd3=$(which dhcpd) |
| if [ $? != 0 ] | if [ $? != 0 ] | ||
| then | then | ||
| Ligne 577: | Ligne 508: | ||
| sudo $macchanger --random $INT_WIFI $NC | sudo $macchanger --random $INT_WIFI $NC | ||
| fi | fi | ||
| - | |||
| echo -e $blue"Démarrage et configuration de l'interface wifi $INT_WIF..."$NC | echo -e $blue"Démarrage et configuration de l'interface wifi $INT_WIF..."$NC | ||
| Ligne 594: | Ligne 524: | ||
| sleep 1 | sleep 1 | ||
| - | echo -e $blue"Démarrage daemon dhcp3... "$NC | + | echo -e $blue"Démarrage daemon dhcpd... "$NC |
| - | # start or resart dhcpd3 server (see /etc/dhcpd3/dhcpd.conf) | + | # start or resart dhcpd server (see /etc/dhcpd/dhcpd.conf) |
| - | sudo touch /var/lib/dhcp3/dhcpd.leases | + | sudo touch /var/lib/dhcp/dhcpd.leases |
| - | #sudo mkdir -p /var/run/dhcp3-server | + | #sudo mkdir -p /var/run/dhcp-server |
| - | #sudo chown dhcpd:dhcpd /var/run/dhcp3-server | + | #sudo chown dhcpd:dhcpd /var/run/dhcp-server |
| - | sudo dhcpd3 $DBG -f -pf /var/run/dhcp3-server/dhcpd.pid -cf /etc/dhcp3/dhcpd.conf $INT_WIFI & | + | sudo dhcpd $DBG -f -pf /var/run/dhcp-server/dhcpd.pid -cf /etc/dhcp/dhcpd.conf $INT_WIFI & |
| - | #/etc/init.d/dhcp3-server restart | + | #/etc/init.d/dhcp-server restart |
| sleep 2 | sleep 2 | ||
| Ligne 611: | Ligne 541: | ||
| sudo iptables -A POSTROUTING -t nat -o $INT_NET -j MASQUERADE | sudo iptables -A POSTROUTING -t nat -o $INT_NET -j MASQUERADE | ||
| - | echo -e $blue"Activation iptables FORWARD & INPUT entre interface $NC $red$INT_WIFI$NC$blue & sous-réseau $NC$red$SUBNET$NC" | + | echo -e $blue"Activation iptables FORWARD & INPUT entre interface $NC$red$INT_WIFI$NC$blue & sous-réseau $NC$red$SUBNET$NC" |
| sudo iptables -A FORWARD --match state --state RELATED,ESTABLISHED --jump ACCEPT | sudo iptables -A FORWARD --match state --state RELATED,ESTABLISHED --jump ACCEPT | ||
| sudo iptables -A FORWARD -i $INT_WIFI --destination $SUBNET --match state --state NEW --jump ACCEPT | sudo iptables -A FORWARD -i $INT_WIFI --destination $SUBNET --match state --state NEW --jump ACCEPT | ||
| Ligne 618: | Ligne 548: | ||
| # Wait user interaction !!! | # Wait user interaction !!! | ||
| echo -e $redhl"[Terminé!!! Ne pas fermer la console! ]"$NC | echo -e $redhl"[Terminé!!! Ne pas fermer la console! ]"$NC | ||
| - | echo -e $redhl"[ENTER = STOP hostapd dhcpd3 dnsmasq ]"$NC | + | echo -e $redhl"[ENTER = STOP hostapd dhcpd dnsmasq ]"$NC |
| echo -e $redhl"[ STOP interface wifi $INT_WIFI ]"$NC | echo -e $redhl"[ STOP interface wifi $INT_WIFI ]"$NC | ||
| echo -e $redhl"[ EFFACE les règles iptables ]"$NC | echo -e $redhl"[ EFFACE les règles iptables ]"$NC | ||
| Ligne 624: | Ligne 554: | ||
| - | echo -e $cyan"Stop hostapd, dhcpd3, dnsmasq & interface wifi $INT_WIFI..."$NC | + | echo -e $cyan"Stop hostapd, dhcpd, dnsmasq & interface wifi $INT_WIFI..."$NC |
| - | # kill hostapd, dnsmasq & dhcpd3 | + | # kill hostapd, dnsmasq & dhcpd |
| - | sudo killall hostapd dnsmasq dhcpd3 | + | sudo killall hostapd dnsmasq dhcpd |
| echo -e $cyan"Désactivation iptables NAT MASQUERADE...$NC$red$INT_NET$NC"$NC | echo -e $cyan"Désactivation iptables NAT MASQUERADE...$NC$red$INT_NET$NC"$NC | ||
| sudo iptables -D POSTROUTING -t nat -o $INT_NET -j MASQUERADE 2>/dev/null || echo -e $cyan"POSTROUTING $INT_NET MASQUERADE clean OK!"$NC | sudo iptables -D POSTROUTING -t nat -o $INT_NET -j MASQUERADE 2>/dev/null || echo -e $cyan"POSTROUTING $INT_NET MASQUERADE clean OK!"$NC | ||
| Ligne 634: | Ligne 564: | ||
| echo -e $cyan"Désactivation iptables FORWARD & INPUT...$NC $red$INT_WIFI$NC$blue & $NC$red$SUBNET$NC" | echo -e $cyan"Désactivation iptables FORWARD & INPUT...$NC $red$INT_WIFI$NC$blue & $NC$red$SUBNET$NC" | ||
| - | # interface down | + | # interface weak up! |
| sudo ifconfig $INT_WIFI down | sudo ifconfig $INT_WIFI down | ||
| + | sudo ifconfig $INT_WIFI up | ||
| # Turn off IP forwarding | # Turn off IP forwarding | ||
| Ligne 647: | Ligne 578: | ||
| ./wifi_ap.sh | ./wifi_ap.sh | ||
| </code> | </code> | ||
| + | |||
| + | Si pendant l’exécution du script précédent vous obtenez l'erreur "SIOCSIFFLAGS: Opération impossible du fait de RF-kill | ||
| + | ", exécuter ou rajouter la commande suivante en début de script : | ||
| + | <code>rfkill unblock wifi</code> | ||
| == Monitoring AP == | == Monitoring AP == | ||
| - | L'outil 'iw' couplé à 'iwconfig' permet d'avoir une vue d'ensemble sur notre installation, les clients connectés à l'AP wlan0, l'AP Wi-Fi lui-même wlan0, mais aussi la passerelle Wi-Fi wlan6 vers Internet : | + | L'outil 'iw' couplé à 'iwconfig' permet d'avoir une vue d'ensemble sur notre installation, les clients connectés à l'AP wlan0, l'AP Wi-Fi lui-même wlan0, mais aussi la passerelle Wi-Fi wlan6 vers Internet : |
| <code> | <code> | ||
| watch -d -n 3 "iw dev wlan0 station dump; iwconfig wlan0; iwconfig mon.wlan0; iw dev wlan6 station dump; iwconfig wlan6;cat /proc/net/wireless" | watch -d -n 3 "iw dev wlan0 station dump; iwconfig wlan0; iwconfig mon.wlan0; iw dev wlan6 station dump; iwconfig wlan6;cat /proc/net/wireless" | ||
| Ligne 661: | Ligne 596: | ||
| * http://wireless.kernel.org/en/users/Documentation/hostapd site officiel de hostapd (anglais) | * http://wireless.kernel.org/en/users/Documentation/hostapd site officiel de hostapd (anglais) | ||
| * http://wireless.kernel.org/en/users/Drivers Drivers et Documentations Linux (anglais) | * http://wireless.kernel.org/en/users/Drivers Drivers et Documentations Linux (anglais) | ||
| - | * http://doc.ubuntu-fr.org/partage_de_connexion_internet Partage de connexion Internet | + | * https://doc.ubuntu-fr.org/partage_de_connexion_internet Partage de connexion Internet |
| - | + | * http://standards.ieee.org/getieee802/download/802.11n-2009.pdf | |
| - | Création par [[utilisateurs:Nexus6]] | + | |
| + | ---- | ||
| + | //Contributeurs principaux : Nexus6// | ||