Réseau fablab

description / adminitration du réseau (ethernet et wifi) du fablab

Architecture

organisation du réseau fablab

Architecture

Les réseaux virtuels

Les réseaux virtuels, ou VLAN, permettent d'implémenter plusieurs réseaux ethernet distincts sur un même matériel physique. Cela permet d'isoler différentes machines sans multiplier les équipement réseau.

Un VLAN est identifié par un numéro, compris entre 1 et 1024 dans le cas des cisco. Chaque port d'un commutateur se voit affecté un numéro de vlan. Pour les communications entre équipements réseau, il est possible d'avoir un port appartenant à plusieurs vlans. Dans ce cas une en-tête est ajoutée aux trames ethernet contenant le numéro de vlan auquel appartient la trame: c'est l'encapsulation 802.1q.

Un port utilisant l'encapsulation 802.1q peut aussi émettre ou reçevoir des trames non encapsulées (ou ethernet native), il faut aussi associer un vlan au port pour ces trames natives.

Sur la plupart des équipements supportant les vlans 802.1q les ports sont par defaut dans le vlan 1.

Architecture

Les VLANs du fablab

Le fablab utilise les vlans pour isoler les traffics entre different équipements ou utilisateurs:

Seul le vlan 205 est connu de la DSI, ce vlan peut donc être utilisé sur tout le campus. Une prise sur le vlan 205 peut être soit sur un switch de la DSI soit sur le notre.

Les vlans 1, 2 et 3 n'existent que sur les équipements réseau du fablab et ne sont donc accessible que sur les sites ou le fablab dispose d'un équipement réseau.

Architecture

Connection internet

Chaque vlan utilise une plage d'adresse IP distincte:

Les paramètres pour le proxy sont: proxyweb.upmc.fr port 3128.

Passerelle

La passerelle (serveur DHCP, routage IP, ...)

Passerelle

Intro

La passerelle proto.fablab.sorbonne-universite.fr est un PC fonctionnant sous NetBSD, avec deux disques dur en RAID-1. Elle est accessible par ssh uniquement par clef publique/clef privée (pas de mot de passe).

Passerelle

serveur DHCP

La configuration du serveur DHCP se trouve dans le fichier /etc/dhcpd.conf. Les logs du serveur sont dans /var/log/dhcp. Dans le fichier de conf il est possible d'enregistrer les adresses ethernet des machines pour leur attribuer une adresse IP fixe. C'est le cas pour toute les imprimantes 3d et pour certaines machines fixes. Pour les vlans 205 et 3 il y a également une plage d'adresses dynamiques (la ligne range) permettant d'attribuer une adresse IP à une machine qui n'est pas enregistrée.

Passerelle

Routage IP

La passerelle assure le routage IP pour les vlans 2 (imp, 10.0.2.0/24) et 3 (pub, 10.0.3.0/24), avec filtrage et translation d'adresse (NAT) pour les communications extérieures. L'outil utilisé est npf (voir les pages de manuel npf, npf.conf sous NetBSD ainsi que http://rmind.github.io/npf/.

Pour pouvoir assurer le routage la machine doit avoir une adresse IP sur chaque vlan. Pour cela, la machine utilise l'encapsulation 802.1q pour envoyer des trames sur les differents vlan en utilisant une seule interface physique. Cela suppose que le port du switch en face soit configuré pour accepter ces trames.

L'interface physique est utilisée pour communiquer sur le vlan 1, qui permet de joindre les équipements réseau. Pour chaque autre vlan une interface vlan est créé avec l'adresse IP correspondante (voir les fichiers /etc/ifconfig.*).

Passerelle

Portail captif

Sur le réseau fablab (vlans 2 et 3), l'accès à l'extérieur est limité tant que la machine ou object connecté n'a pas été autentifié. L'autentification se fait par la page https://proto.fablab.sorbonne-universite.fr/gw/. Un ordinateur ou téléphonne devrait ouvrir automatiquement cette page; si ce n'est pas le cas il est toujours possible d'entrer l'URL ci dessus dans la barre d'adresse.

Certaines destinations sont accessibles sans autentification, en particulier les site web fablab.sorbonne-universite.fr et wiki.fablab.sorbonne-universite.fr, proxyweb.upmc.fr, les services DNS et NTP du campus.

Lors de la connection à https://proto.fablab.sorbonne-universite.fr/gw/ il propose par défaut d'autoriser la machine qui se connecte. Mais il est possible d'autoriser une autre machine si on connait son adresse IP, ou son adresse MAC. Il suffit pour cela de renseigner le champ correspondant (un seul des deux suffit), et de cliquer sur le bouton Rechercher correspondant. Si la machine est connectée au réseau elle apparaitra.

Les autorisation sont remises à zero toute les nuits; mais une machine qui se déconnecte du réseau verra son autorisation supprimée après quelque minutes.

Certains équipements du lab ont une adresse IP fixe (imprimantes 3d, PCs associés au machines); la liste est dans le fichier /etc/hosts sur proto.fablab.sorbonne-universite.fr (accès par ssh pour ceux qui ont un compte).

La page https://proto.fablab.sorbonne-universite.fr/gw/status donne la liste des machines connectée au réseau, et si elles sont autorisées (et par qui).

Passerelle

Accès aux imprimantes 3d

La passerelle permet de lancer à distance, grâce au protocole vnc, le logiciel ideamaker pour se connecter aux raise3d et suivre (et éventuellement arrêter) une impression. Pour cela:

  1. installer un client VNC (par exemple https://www.realvnc.com/en/connect/download/viewer/)
  2. utiliser ssh pour établir un tunnel crypté depuis un port de votre machine vers le port 5900 de la passerelle: ssh -L5901:localhost:5900 proto.fablab.sorbonne-universite.fr
  3. lancer le client vnc et lui indiquer de se connecter à localhost port 5901 (cela peut être, selon les clients, localhost:5901 ou localhost:1)

Une fenêtre avec ideamaker devrait apparaitre, qui permet de se connecter aux imprimantes.

Bornes wifi

Bornes wifi

DLink dap-2680

Les bornes wifi du fablab sont des DLink dap-2680 (le manuel est en attachement). Elles sont alimentées par power over ethernet (POE), il faut donc les connecter soit sur un switch POE (les bornes consomment au max 17W) soit sur un injecteur POE, lui même connecté à un switch. Les bornes s'apellent fablab-wifi-1 et fablab-wifi-2.

Ces bornes supportent les SSID multiples (8 en b/g/n et 8 en a/c), elles peuvent donc servir plusieurs réseau wifi en même temps. Chaque SSID peut être attaché à un vlan 802.1Q différent (il faut donc que la borne soit connectée à un switch supportant vlans 802.1Q). Actuellement ces bornes servent 2 SSIDs: fablab (pour le public) et fablabstaff (pour les permanents - ne pas donner accès aux étudiants à ce réseau).

Les bornes ont leur adresses IP sur le vlan 1, natif sur le lien ethernet (non taggué). Les vlans 3 (fablab) et 205 (fablabstaff) sont taggués sur le port ethernet.

L'interface web de gestion est accessible uniquement depuis la passerelle proto.fablab.sorbonne-universite.fr. On peut y accéder de la manière suivante:

  1. utiliser SSH pour créer un proxy socks sur le port 1234 (par exemple): ssh -D1234 proto.fablab.sorbonne-universite.fr (cela suppose d'avoir un accès ssh à la passerelle).
  2. Configurer son navigateur web (firefox par exemple) pour utiliser un proxy socks sur la machine localhost, port 1234
  3. entrer l'URL https://fablab-wifi-1/ (et accepter le certificat auto-signé).