Accueil / Mes interventions / Hotspot Wifi pour chambres d’hôtes compatible loi anti-terroriste

Hotspot Wifi pour chambres d’hôtes compatible loi anti-terroriste

Cet article ne traite pas d’un dépannage informatique -pour une fois- mais de la mise en place d’un accès Wifi contrôlé compatible loi anti-terroriste 2006 et sans abonnement pour une chambre d'hôtes, situé à Carcès (VAR) .

Le besoin de mon client gérant de chambres d'hôtes: Un hotspot WIFI qui respecte la loi anti terroriste de 2006, pas trop cher bien sur, et pour lequel il n'y aurait pas besoin de payer un abonnement mensuel: En effet le gérant ne loue pas tout l'année et ne souhaite pas être une "rente" pour une société.

Cette loi antiterroriste impose à toute structure privée ou publique qui fournit un accès Web d’enregistrer les connexions des utilisateurs du réseau (dont l’adresse IP, les sites visités, date de début et fin de visite, la durée du surf ..). Cette collecte doit se limiter aux éléments techniques permettant d'identifier l'utilisateur et non ses données personnelles. le cas contraire; une autorisation de la CNIL est requise.  Les points d’accès qui enregistrent ces données –ou pack hotspot wifi- sont dispendieux ! En gros 750€ à l'heure où je vous parle.

Ce qui est cher, c’est la fonction enregistrement de connexion de ces points d'accès spécialisés: Donc la solution, c’est de déporter cette fonction de rétention sur un PC muni d’un logiciel spécialisé et d'utiliser un point d'accès Wifi classique. Et mon client gestionnaire de gîte a justement deux ordinateurs. Son PC le plus vieux, au format moyen tour, fera l'affaire.

Dans cet article, je nommerais le PC qui va servir à gérer les terminaux Wifi (smartphone, Netbook, tablettes..) le "PC serveur".

Le prix :

J’ai choisi un point d’accès Wifi plutôt cher car d’extérieur : Si on prend un bon point d’accès Wifi d’intérieur comme le DP-link DAP 1160, on s’en tire à 40€ (+ un câble Ethernet à 10-20€). Le problème est que les hôtes du gîte en question surfent souvent dans le jardin, la cour ou à proximité de la piscine: Il fallait vraiment une borne Wifi pour dehors.

De toute façon, cette borne Wifi de marque Ubiquiti a un autre atout; elle est très performante en émission/réception et son antenne interne peut "s'auto-aligner"... on gagne de précieux DBm (puissance du signal réseau).

Le cout est certes contenu, mais la configuration de l’ensemble n’est pas aisée par contre :

La Box ADSL:

  • Mon client possède une Neuf box SFR d'adresse IP locale 192.168.1.1. Il faut accéder à l'interface de gestion et réserver une @IP de type 192.168.1.X pour la carte réseau d'origine du PC serveur (ici j'ai réservé l'IP 192.168.1.10). Cela se fait dans la rubrique Paramètres avancés>DHCP de l'interface de la Neuf Box.

Sur le PC serveur: réglages de la nouvelle carte réseau :

  • On connecte cette nouvelle carte réseau au PC serveur sur un slot PCI libre et on installe le driver
  • Puis on l’a configure ainsi :@IP : 192.168.137.1, Masque de sous-réseau : 255.255.255.0, DNS et passerelle: ne rien mettre

Le point d’accès Ubiquiti Nanostation M2 :

PS: A savoir que l'adresse IP par défaut de la nanostation ubiquiti est 192.168.1.20, les identifiants de l'interface sont à l'origine ubnt, mot de passe: ubnt aussi

  • Connecté par câble Ethernet à la nouvelle carte réseau du PC
  • Mode Wireless : Acces point, sans clé wifi de sécurité, 20MHz, WMM ou QOS désactivé car incompatible avec les Iphone-Ipad
  • Mode Network : Type d'@IP en statique, @IP 192.168.137.2 ; Netmask 255.255.255.0, Gateway IP 192.168.137.1 (@IP de la nouvelle carte réseau du PC serveur), DNS 10.20.30.40 (c'est un Faux DNS; renseignement obligatoire sur le point d'accès Nanostation sinon il refuse de sauvegarder la configuration). DHCP désactivé

Sur le PC serveur: réglage du programme Softvision explorer server:

  • Configuration en Mode Hotspot
  • On choisi la carte réseau reliée par câble du PC serveur la BOX ADSL en tant que LAN1, puis la nouvelle carte réseau en tant que LAN 2.
  • Type de dispositif : Acces point, DNS préféré : 8.8.8.8 (DNS de Google), NAT interne coché, mode d'adressage: alternatif, DHCP activé (laissé par défaut)

PS: Avec OpenDNS on peut filtrer les sites malveillants; liés à des actes de violence ou d'idéologie radicale et j'en passe. En gros au lieu de rentrer l'@IP DNS de google (8.8.8.8) dans les réglages de softvision explorer server, on renseigne le DNS proposé par OpenDNS, après avoir créé un compte gratuit. Lire le tuto de malekal.com.

Pourquoi on désactive le DHCP sur le point d'accès Nanostation Ubiquiti? Comment alors les PC portables, Smartphones, vont faire pour avoir une @IP? Et bien c'est le logiciel Softvision explorer qui va attribuer des @IP aux terminaux Wifi du gîte, au travers de la nouvelle carte réseau en LAN2.

Et pourquoi j'ai choisi une IP de type 192.168.137.X sur la nouvelle carte réseau? Parce que, en tout cas avec la version actuelle (mai 2013) de softvision explorer, pas moyen d'avoir de connexion internet sur les terminaux Wifi des hôtes sans ce type d'@IP.

Je ne pense pas qu’un non spécialiste puisse configurer tout ceci sans de solides connaissances en réseau. En tout cas le gîte concerné est désormais en règle avec la loi anti terroriste, même si je vois mal des terroristes passer des vacances dans un gîte… Par contre je dirais qu'un Cybercafé est plus exposé mais c'est un autre problème.

Concrètement, une fois la configuration Wifi faite, les terminaux Wifi se connectent au point d'accès (ils voient le réseau Wifi de nom Ubiquiti PS: changé pour le nom du gîte depuis) sans rentrer de clé Wifi de sécurité.. Par contre, même s'il les clients du gîte ouvrent leur page Web de démarrage normal (ex. Google) ils sont automatiquement redirigés vers la page de connexion (on dit portail captif) du logiciel de Hotspot Softvision explorer installé sur le PC serveur.

Les clients du gîte sont obligés d'y rentrer leurs identifiants, choisis depuis l'interface de Softvision explorer par le gestionnaire du gîte. Ils sont ainsi identifiés et leurs connexions sont enregistrés sur le PC serveur.

Ces logs de connexion sont accessibles depuis le logiciel softvision explorer, menu Archive> Analyse de l'archive.
Inutile de dire que le PC serveur doit être allumé en permanence.

Au final, Le point d'accès Wifi Nanostation est irréprochable avec un signal Wifi monstrueux, mais je ne trouve pas le logiciel Softvision explorer très ergonomique -le  paramétrage se fait la première fois à tâtons, en expérimentant les effets- cela dit il est traduit en Français, ne coute pas très cher et couvre juridiquement mon client, ce qui est le principal.

PS: Des soucis depuis la création de cette article; la carte réseaux du PC serveur connecté à la BOX a rendu l’âme à cause d'orages, ceci 2 fois à quelques mois d'intervalle: Après changements de la carte réseau et reconfiguration de Softvision explorer, ce dernier -malgré reparamétrage- ne donnait plus d'accès Internet aux terminaux. Solution: désinstaller/rebooter/réinstaller softvision.

Softvision explorer n'est pas certifié pour fonctionner sur du Windows 7 (système d'exploitation installé sur le PC serveur) Cela dit je n'ai eu aucun problème à le faire tourner (sauf pour l'histoire de l'adressage IP côté LAN2 que j'ai dû régler en 192.168.137.X, ce qui n'est pas le réglage recommandé par défaut).

PS: la nouvelle version de Softvision explorer est désormais "Windows 7 ready" Edit du 09 Nov 2013.

 

Voici un schéma de la configuration(cliquer deux fois pour agrandir):

config hotspot wifi gite