Hello, Si tu as un portail captif, et peu de trafic, l’idéal est d'avoir une boite "clef en main" qui fera portail captif + passerelle vers Internet + dhcp sur ton LAN. Ex OpenSource : pfsense fait ça très bien, et pour le coup sur la même machine tu auras les logs authentification + dhcp + nat sans problèmes d'horodatage de logs. Si tu pars sur des briques dédiées pour chaque rôle, n'oublie pas le ntp et un bon syslog (voire du splunk, si tu as peu de volumetrie de logs).
Tu peux avoir a logguer les requêtes DNS aussi, pour lier une connexion spécifique a des sites hébergés sur la même @IP, mais la il faut soit que tu proxifies les requêtes DNS, soit que tu filtres les requêtes DNS sortantes, pour être sur d'avoir la visibilité de toutes les requêtes DNS (c'est moche, et même pas sur que ce soit légal, mais bon tant que les réquisitions judiciaires n'iront pas plus loin que "c'est cette @IP publique qui a fait quelque chose d’illégal, a telle heure", faudra ruser). Et la tu as le droit de te dire "vivement l'ipv6" ! Pour faire le lien avec un autre sujet en cours sur FRnOG : si tu vises peu de clients simultanés (<1000 typiquement), tu peux aussi regarder l’intérêt de devenir LIR au RIPE, et obtenir tes scopes IPv4 publiques (/22 minimum a priori, mais je laisse les experts sur ce sujet commenter). Sur le portail captif, la bonne approche : l'envoi de SMS pour se connecter. (Je crois me souvenir d'un thread précédent, que l’aéroport de Pau utilise une solution de ce type la, mais sur la personne qui avait envoye cette info peut se manifester pour confirmer, ça sera mieux !) Tu as une correspondance @IP Privée / numéro de téléphone, et tu peux botter en touche chez les opérateurs de téléphonie mobile pour retrouver la personne réelle. Et ça, botter en touche chez les opérateurs de téléphonie mobile, ça n'a pas de prix ! :D Bonne soirée Guillaume Le 4 octobre 2011 20:08, Christophe <ckuczyn...@gmail.com> a écrit : > ** > Salut, > > il y a quand même des questions structurantes sur ce type de déploiement: > > - Combien de hotspots comptes tu déployer ? > - Combien de site auront un hotspot (est ce un déploiement pour couvrir > plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi > à l'accueil d'une société pour les visiteurs ?) > - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ? > > etc... > > Si tu utilises de l'adressage privée il te faudra au minimum logger la > correspondance IP privée/login + date/heure au niveau portail captif, ainsi > que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et > faire ta corrélation (si ce sont des équipements différents) > > En terme d'obligation légale bien souvent on te donne une IP avec une heure > à laquelle elle a commit un "délit" très rarement le port source, et toi tu > devras répondre QUI et où (localisation du hotspot)... > > Christophe > > > > On 04/10/2011 18:39, Sebastien Maillet wrote: > > Bonjour, **** > > ** ** > > Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est > une vraie mine d’information !**** > > ** ** > > Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir > de réponse claire pour le moment.**** > > Je cherche à mettre en place un réseau d’accès Internet « gratuit » type > WIFI où les utilisateurs ne sont pas identifiés à l’avance. **** > > Ils doivent donc faire une demande d’accès à travers un portail captif, ils > laissent leur nom/prénom/adresse et un code d’accès leur est ensuite > communiqué (par mail ou par SMS).**** > > ** ** > > Le problème qui se pose est que nous souhaitons leur fournir des adresses > ip privées.**** > > En effet, si nous recevons une réquisition de la part de la gendarmerie > nous demandant l’identification d’un usager à partir d’une adresse IP > publique, ca va être compliqué … Nous serons capable de donner le groupe > d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien > mettre de plus que les loggs NAT il nous sera impossible d’identifier > l’utilisateur recherché. **** > > Nous avons pensé mettre en place un firewall applicatif qui nous donnerait > des précisions sur les sessions montées à partir des adresses privées, ce > qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne > soit pas légal.**** > > ** ** > > Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ? **** > > (mise à part en mettant de l’adressage publique bien sur :o) )**** > > ** ** > > Merci pour vos retours.**** > > ** ** > > Sebastien**** > > > -- Cordialement, Guillaume BARROT
