Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
570 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Routeur et Wifi Guest, et isolation entre réseau

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Routeur et Wifi Guest, et isolation entre réseau

n°160615
thekiller
Posté le 15-02-2019 à 15:54:02  profilanswer
 

Bonjour,
 
Je dois activer un wifi guest pour certaines personnes, jusqu'à la pas de problème, par contre je voudrais isoler ce réseau de mon autre réseau d'entreprise, je ne veux pas que les personnes qui sont en wifi puisse voir ou pinguer l'autre réseau, est-ce possible si le routeur qui gère cette connection wifi et sur le réseau entreprise ?
 
Voici la configuration :
 
Asus RT-AC68U
Adresse IP WAN = une ip du réseau d'entreprise, exemple 192.168.5.200
Réseau Wifi du routeur mis sur une autre range d'IP du routeur, exemple 192.168.1.1 avec DHCP
 
Si oui comment faire ? quoi que je test, cela peux toujous pinguer l'autre réseau !!
 
Merci d'avance


Message édité par thekiller le 15-02-2019 à 15:57:41
mood
Publicité
Posté le 15-02-2019 à 15:54:02  profilanswer
 

n°160723
saarh
Posté le 19-02-2019 à 10:24:37  profilanswer
 

Pas de vlan ?pas de proxy, de firewall ? de dmz ?
Pour aller au bout, aucun contrôle des flux sur tes connexions internet ? (qu'elles soient interne ou guest) Donc un employé ou un guest fait une connerie, ou télécharge ce qu'il ne faut pas, c'est sur ta tête ou celle du patron que ça retombe ?

 

Dans les bonnes pratiques pour un réseau guest :
- soit la box gère les portails captif nativement, sur un SSID, qui n'a aucun accès à la patte LAN, et conserve les historiques de connexion et info nécessaires en cas de soucis.
- un vrai contrôleur wifi, en aval de la box, ou tu peux gérer les vlan, et donc isoler le réseau du ssid guest (et qui gère les portails captifs, aussi)
- une boiboite qui gère ça toute seule (telmat, ucopia, etc) y compris sur l'aspect légal.
- bien te renseigner sur les obligations légales consécutives à la mise à disposition d'une connexion internet à des visiteurs. (même à tes employés, remarque)

 

edit : Asus Guest Network peut faire ça de façon simplifiée, à priori pour 3 users guest. à defaut....


Message édité par saarh le 19-02-2019 à 10:31:59
n°160725
thekiller
Posté le 19-02-2019 à 11:17:31  profilanswer
 

Bonjour,
 
Pour répondre à tes questions :
 
Pas de vlan - le routeur Asus ne le gère pas
Pas de proxy - en effet
Pas de firewall - A part celui du routeur ...
De DMZ - non plus
 
Pour le moment j'ai fais un réseau isolé sur une autre IP Fixe, le wifi guest a quand même un mot de passe mais en effet je n'ai rien pour pister, cela me dérange pas mal...
 
Pour l'asus guest, j'ai essayé dans tous les sens, les clients arrivent à remonter sur mon réseau d'entreprise
 
J'avais l'idée de mettre des bornes Meraki mais c'est trop chère, j'ai vu aussi du Ubikiti, tplink avec l'omada cloud ou du linksys
 
Merci encore

n°160727
antoincy
Posté le 19-02-2019 à 13:15:07  profilanswer
 

faut virer ton routeur Asus qui n’a rien d’un matos d’entreprise et tout reprendre à 0.
 
Firewall / VLAN et co
Et effectivement un UTM (type Ucopia) au moins pour les guests


Message édité par antoincy le 19-02-2019 à 13:16:36
n°160735
thekiller
Posté le 19-02-2019 à 16:20:30  profilanswer
 

oui je sais pour le asus... a l'origine c'étais plutôt pour le wifi interne sauf que maintenant la société voudrait du wifi guest pour les salles de réeunions... et bien-sur pas chère....


---------------
Mon feedback
n°160736
antoincy
Posté le 19-02-2019 à 16:53:19  profilanswer
 

ubiquiti c'est une bonne idée.
quelques bornes selon la surface à couvrir, avec le controleur Unifi sur une VM ou un serveur.  
cependant, il te faudra :
- firewall pour gerer securité et VLAN (1 VLAN entreprise, 1 VLAN guest) et mettre les SSID sur les VLANS correspondant.
dans l'idée cela peut suffire car le controleur Unifi permet de mettre en place un portail captif sur reseau guest. Sauf que tu ne rempliras pas les obligations légales de tracage de l'activité sur ton réseau. Pour cela, à toi de voir

n°160741
thekiller
Posté le 19-02-2019 à 19:18:56  profilanswer
 

Pour le traçage j'ai eu les 2 sons de cloches, comme quoi c'est moi qui doit tracer et une version ou c'est le FAI
Et pour le traçage avec un simple VPN on peut le contourner ?


---------------
Mon feedback
n°160758
saarh
Posté le 20-02-2019 à 08:22:55  profilanswer
 

Le FAI tracera ce qui sort, c'est clair. Il pourra dire "OK monsieur le policier, c'est la société machin qui est aller voir un site pedobear, à 12h05, lancée une attaque ddos sans doute par un poste infecté à 13h, téléchargé 42 films sous copyright à 18h30,  via l'IP xxxxxx" Mais eux ne sont pas sur ton LAN. Charge à toi de trouver / fournir de quoi trouver la personne exacte. D'ou ces logs.
Sur notre réseau Guest, si un utilisateur utilise un VPN, il a tout de même du s'authentifier avant sur le portail captif. Après, l’intérêt de ce type de portail, c'est que tu peux décider quel flux passe ;) (pas de VPN, par exemple, ou de proxy, etc)
à partir du moment ou tu mets à disposition une connexion internet à des tiers, tu deviens toi même en quelque sorte FAI, et donc soumis aux mêmes obligations. Par défaut, si une couille se passe sur ta connexion, mais que tu n'as aucune trace, ça sera ta société qui sera responsable. (enfin, son SI, ça retombe toujours sur nous ce genre de boulette, ce qui est normal) Et je le répète, pas que pour le réseau Guest. Là, même en interne, tu 'as rien, au final.  
Pour les solutions techniques, Meraki, c'est pas le meilleur marché :D En effet Ubiquiti semble pas mal.  
Sinon, pour tes users....z'avez un domaine, des AD ? Si oui, tu rajoute juste un proxy à ce que te propose antoincy, qui se chargera de logguer les users internes (bien sur, faut prévenir, si vous avez un CE / DP  pas de charte info, etc). Sur un environnement virtuel, une debian, un squid, c'est gratos ^^
Déjà mettre internet à dispo des employés de la boite, c'est pas simple "administrativement", alors les externes.... ;)

n°160759
Micko77666
Posté le 20-02-2019 à 08:43:42  profilanswer
 


En routeur/firewall très bien tu as du Fortigate, très simple à configurer.

n°160792
thekiller
Posté le 20-02-2019 à 19:21:55  profilanswer
 

Bonjour,
 
Pour le moment je vais faire juste un guest pour les salles de réunions, il est actuellement isolé du réseau interne, donc pas de problème pour le réseau entreprise, pour les salariés on verra plus tard
 
Donc ce que je voudrais c'est un portail captif facile à administrer pour donner les codes autre que par moi, j'ai 1 IP Fixe WAN de dispo, il faudrait que je lui colle un routeur firewall fortinet (lequel pas trop chère) ou sophos ou autre, ensuite des bornes wifi, il y a du meraki, linksys avec cloud manager, tplink avec omada, ubikiti, aucune de ces solutions peux tracer ? laquel utiliser ?
 
Je voudrais un truc simple a mettre en place, pas trop chère et facilement administrable, en gros c'est moi qui gère le plus gros, après je cré un user qui gère les codes
 
Merci encore
 


---------------
Mon feedback
mood
Publicité
Posté le 20-02-2019 à 19:21:55  profilanswer
 

n°160793
antoincy
Posté le 20-02-2019 à 19:33:45  profilanswer
 

ubiquiti a un système super de gestion de ticket.
le portail captif est facile à personnaliser, gérer et est performant (en prod depuis 2 ans sur 2 sites)
tu sors des tickets personnalisés (multi usage ou pas, un jour ou 365, bref)
 
au risque de nous répéter ce n’est pas cela qui va tracer quoi que ce soit.  
pour tracer il te faut un proxy ou un UTM mais dans ce cas (Ucopia par exemple) pas besoin du portail captif de ubiquiti Unifi

n°160811
peperonie0​6
Posté le 21-02-2019 à 08:51:40  profilanswer
 

pas moyen de mettre des routes statique ni de Acl?

n°160812
antoincy
Posté le 21-02-2019 à 09:22:38  profilanswer
 

peperonie06 a écrit :

pas moyen de mettre des routes statique ni de Acl?


pour ?

n°160833
peperonie0​6
Posté le 21-02-2019 à 15:46:50  profilanswer
 

si tu mets tel plage d'adresse peut aller que sur internet, ça permet de bloquer les connexions avec les autres réseaux

n°160839
thekiller
Posté le 21-02-2019 à 19:16:57  profilanswer
 

bonsoir, merci de vos retour, je ne veux pas l'intégrer a mon réseau entreprise, je préfère séparer, je recherche surtout des retours d'expérience sur ce que vous avez mis comme matériel et la mise en place du portail et log


---------------
Mon feedback
n°161072
saarh
Posté le 06-03-2019 à 11:50:24  profilanswer
 

Chez nous, l'infra wifi était déjà en place lors du projet "réseau guest", donc on s'est pas emmerdé. Boitier Telmat pour le portail captif (aux environ de 800€), et un proxy (squid) pour l'interne.
 
Pour l'infra wifi, on est sur 2 contrôleurs ex-motorola (RFS-4000)et une quarantaine d'AP. Mais c'est totalement dissocié du projet guest ;)

n°161080
thekiller
Posté le 06-03-2019 à 14:53:32  profilanswer
 

Bonjour, merci de ton retour, vous en êtes content du boitier telmat ? pour les ap je peux mettre ce que je veux avec ? apparemment le boitier termat fait le portail captif avec les logs


Message édité par thekiller le 06-03-2019 à 14:53:47

---------------
Mon feedback
n°161183
saarh
Posté le 08-03-2019 à 15:46:34  profilanswer
 

Oui, le telmat fait très bien le boulot et est totalement indépendant de la partie WiFi. Il ne fait que la partie portail captif / log. Par contre, ça demande quand même un peu de paramétrage, hein. Il ne gère pas la partie réseau, il se plug dessus. Dans l'idéal, il te faut un SSID "Guest", sur un vlan à part, relié au telmat.

n°166001
thekiller
Posté le 17-10-2019 à 14:57:43  profilanswer
 

Bonjour,
 
Le réseau guest réunion ne suffisant déjà plus, j'ai la mission de faire un réseau guest....
 
Je sais que Meraki fait du portail captif mai est-ce qu'il garde les logs ?
 
Merci d'avance


---------------
Mon feedback
n°166081
leto
Posté le 21-10-2019 à 14:12:23  profilanswer
 

thekiller a écrit :

Bonjour,
Le réseau guest réunion ne suffisant déjà plus, j'ai la mission de faire un réseau guest....
Je sais que Meraki fait du portail captif mai est-ce qu'il garde les logs ?
Merci d'avance


 
Il ne garde pas la durée légale (1 an) . Il faut prévoir un serveur syslog a coté .


---------------
leto

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Routeur et Wifi Guest, et isolation entre réseau

 

Sujets relatifs
droits et devoirs admin réseauProblème sur borne wifi fraichement installée
Isoler un port sur un réseau local (vlan ?)Selection cable réseau pour rénovation maison
Désactiver une carte réseau de mon nas synology DS1618+[WiFi] Améliorer les performances du wifi de l'entreprise
surcharge reseau internet avec enregistreur 
Plus de sujets relatifs à : Routeur et Wifi Guest, et isolation entre réseau


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR