[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[RHL-Team] Accès Internet


Bonjour à toutes et à tous !

Nous sommes en train de finaliser l'infrastructure pour l'accès à
Internet et en vertu des obligations légales (nous sommes maintenant un
vrai fournisseur d'accès Internet), nous nous devons d'authentifier les
utilisateurs·trices de notre réseau.

Comme prévu nous fournirons des adresses IPv4 et IPv6 publiques à
chacun·e·s d'entre vous grâce à un tunnel VPN jusqu'à notre infra au
datacenter à Lausanne. On prévoit 3 points d'accès Wi-Fi comme
d'habitude, merci de nous dire quelles salles seront occupées pour une
disposition efficiente des AP.

Dès que les gens voudront se connecter au réseau, il faudra
IMPERATIVEMENT passer vers un de nos sysadmin vers notre table qui
pourra authentifier et donner l'accès à la personne. En principe on se
relayera tour à tour, ou on mettra un petit billet sur notre table pour
dire où on est. Cela va assez vite, on a scripté tout ça.

Techniquement cela se passera comme ceci:

- Toutes les IP sont bloquées en entrée et en sortie par défaut
- Un·e utilisateur·trice se connectera via le LAN ou le Wi-Fi, iel
obtiendra un bail DHCPv4, au mieux iel pourra communiquer avec les hôtes
du réseau local
- Iel vient vers nous, nous donne son IPv4, on lui demande les
informations nécessaires ci-dessous
- Notre script génère une entrée dans un fichier avec les infos
suivantes: Nom, prénom, date de naissance, adresse postale, IPv4, IPv6,
MAC, date d'attribution, personne de SNN responsable de l'attribution
(que nous conserverons six mois selon art 21. de la Loi fédérale sur la
surveillance de la correspondance par poste et télécommunication
(LSCPT): https://www.admin.ch/opc/fr/official-compilation/2018/117.pdf
- Le pare-feu débloque l'accès en sortie v4/v6
- La question est posée à l'utilisateur·trice pour savoir si iel veut
qu'on débloque TOUT ou rien en entrée, c'est à dire qu'iel gère lui-même
la partie pare-feu, par défaut c'est bloqué en entrée pour des questions
de sécurité évidentes -> si oui le pare-feu débloque v4 et v6
- Une entrée est ajoutée dans le DHCP pour son périphérique v4/v6
- Une fois l'entrée terminée, l'utilisateur·trice peut refaire une
requête DHCPv6 et obtiendra également son adresse IPv6 (ou il la rentre
manuellement) et aura accès à Internet v4/v6

Si la personne a plusieurs périphériques ce n'est pas un problème, on
fait simplement des entrées supplémentaires.

Les IPv6 sont simplement le préfixe + l'adresse IPv4 (décimal pointé)
concaténés, ex: 2a0a:db41:ffef:59:185.250.56.30/64 facile à retenir donc.

Voilà, grosso-modo une entrée = 2 min de travail/personne + explications

Le range v4: 185.250.59.0/24
Le range v6: 2a0a:db41:ffef:59::/64

Routeur v4: 185.250.59.1
Résolveur 1 v4: 185.250.56.10
Résolveur 2 v4: 185.250.56.11
Routeur v6: 2a0a:db41:ffef:59::1/64
Résolveur 1 v6: 2a0a:db40::a
Résolveur 2 v6: 2a0a:db40::b

On mettra une feuille d'information à notre table + un grand panneau
pour dire qu'il faut venir vers nous. En même temps on pourra discuter
avec les gens. :)

PS: les devices Android ne gère pas DHCPv6, on ne prévoit pas de gérer
IPv6 dessus, mais l'utilisateur peut le faire manuellement si
techniquement possible.

Meilleures salutations
-- 
Florian Siegenthaler
+41795727507
--
Cette liste est archivee publiquement. Pour toutes informations sensibles,
merci d'utiliser plutot <rhl-private@xxxxxxxxxxxxxxxxxxxx>

Follow-Ups:
Re: [RHL-Team] Accès InternetDidier 'OdyX' Raboud <odyx@xxxxxxxxxxxxxx>
Archive administrator: postmaster@lists.swisslinux.org