Renamed Wi Fi to Wi Fi.private

-<!-- --- title: Infrastructure Wi-Fi -->

-

-## Généralités

-

-Le Wi-Fi, vaste question. C'est le problème majeur au ResEl, avant même les problèmes de débit.

-

--> **[Voir la configuration du Wi-Fi à Rennes](/Rennes/Réseau/Wi-Fi) :eyeglasses:**

-

--> Voir les plans du Wi-Fi : https://git.resel.fr/resel/Wi-Fi

-

-## Le contrôleur Wi-Fi

-

-L'ensemble du parc Wi-Fi est géré par un unique contrôleur Unify sur la machine [Ubnt](Serveurs/Ubnt Ubnt) le contrôleur est accessible à l'adresse : https://unifi.resel.fr

-

-Ce contrôleur peut gérer toutes les bornes Wi-Fi sur le campus de Brest de façon intuitive et rapide.

-

-L'idée, c'est que la borne une fois branchée apparait dans le contrôleur web, et via la dite interface on peut configurer le nom de l'AP ainsi que son IP, et la puissance à laquelle sont émis les SSID (entre autres choses). Pour le reste, c'est le contrôleur qui gère les autres paramètres, ce qui présuppose d'avoir paramétré le dit contrôleur.

-

-

-## Adressage des bornes et configuration réseau

-

-Les bornes sont connectées dans le [VLAN 998 (VLAN réseau)](/Réseau/Routage#schéma_vlan-998-administration-des-équipement-réseau-sw-resel-fr) avec une association entre le [VLAN 999 (VLAN utilisateur)](/Réseau/Routage#schéma_vlan-999-zone-utilisateurs) et le SSID *ResEl Secure*.

-

- * Le plan d'adressage IPv4 utilisé est `172.22.1.BBX` où `BB` est le numéro de bâtiment et `X` le numéro de la borne dans un bâtiment précis (0-9).

- * Le plan d'adressage IPv6 suggéré est `2001:660:7302:d998:####::XXXX` où `####` est l'identifiant de zone et `XXXX` le numéro de la borne dans un bâtiment précis (0-9).

-

-Se référer au tableau ci-dessous pour obtenir le listing complet des `BB` et des `####`.

-

-Par exemple "la deuxième borne du foyer" a l'IPv4 `172.22.1.241` et l'IPv6 `2001:660:7302:d998:24`:

-

-| Valeur `BB` | Valeur `####` | Signification |

-| --- | --- | --- |

-| 0 | 0 | Réservé aux machines d'administration |

-| 1 | b1 | I1 |

-| 2 | b2 | I2 |

-| 3 | b3 | I3 |

-| 4 | b4 | I4 |

-| 5 | b5 | I5 |

-| 6 | b6 | I6 |

-| 7 | b7 | I7 |

-| 8 | b8 | I8 |

-| 9 | b9 | I9 |

-| 10 | b10 | I10 |

-| 11 | b11 | I11 |

-| 12 | b12 | I12 |

-| 23 | e01 | Tests |

-| 24 | f01 | Foyer |

-| 25 | ffff | Réservé |

-

-## Configuration des Switchs

-

-Du coup, au niveau d'un switch Cisco (et surtout parce que vous n'attendez que ça...), voilà la conf à effectuer :

-

-```

-conf t

- int votre-interface-ici

- switchport trunk allowed vlan 998,999 # Mettez ici la liste des VLAN dont on a besoin

- switchport mode trunk

- switchport trunk native vlan 998 # VLAN par défaut

- spanning-tree portfast

- end

-```

-

-Avec ça, la borne devrait apparaître sur le contrôleur Unifi :)

-

-----

-

-## Certificats pour le serveur radius

-

-@lcarr : ATTENTION : Je crois que ce qui est dit dans ce paragraphe n'est plus d'actualité. À vérifier, et prendre avec des pincettes

-

-Tout le nécessaire pour les certificats du serveur RADIUS est dans

-```

-/usr/share/doc/freeradius/examples/certs

-```

-

-En pratique, les certificats sont générés pour une période suffisante (10 ans).

-

-Pour régénérer les certificats, voici la procédure à suivre en tant que root:

-```

-cd /usr/share/doc/freeradius/examples/certs

-make clean

-make index.txt serial ca.pem ca.der server.pem server.csr

-chmod 700 *

-cp ca.pem server.key server.pem ~freerad/certs/

-```

-

-N'oubliez pas de mettre le fichier `ca.der` sur la page de configuration du Wi-Fi et de signaler le changement aux utilisateurs :p.

-

-

-## Configuration de la Radio et des SSID

-

-La nouvelle architecture fait usage de 802.11n dans la bande 2.4GHz. La largeur des canaux sera définie à 40MHz par défaut, mais peut être ramenée à 20MHz en cas d'interférences.

-

-Le mode international (802.11d) est actif (et la région définie à France, bien évidemment). Ceci permet aux cartes Wi-Fi venant de pays ayant des plans de fréquences plus restreints que la France d'accéder aux canaux interdits dans les pays d'origine.

-

-### ResEl Inscription

-

- * VLAN 995

- * QoS: Aucune ?

- * Sécurité: Réseau ouvert

-

-Ce VLAN, isolé du reste du réseau, contient :

- * un serveur DHCP

- * un DNS qui redirige toute requête

- * un serveur Web pour assurer la configuration, l'inscription et la médiation des utilisateurs actuellement [[wiki:Machines/Skynet ]].

-

-### ResEl Secure

-

- * VLAN 999

- * Sécurité: WPA2-Entreprise avec serveur RADIUS, chiffrement AES obligatoire

- * QoS: Aucune ?

-

-Ce SSID permet de se connecter au reste du réseau comme les machines câblées.

-

-La télévision n'est pas possible sur ce réseau, car le muticast sur le Wi-Fi c'est maaal.

-

-Ce VLAN est exactement le même que le VLAN Ethernet

-

-## Installation d'un point d'accès unifi

-* Relever les numéros de série et remplir le wiki

-* Étiqueter la borne

-* Enregistrer la machine dans le ldap (bien respecter la convention des IP en 172.22.1.xy où x est le numéro du bâtiment)

-* Se connecter sur ubnt, éditer /etc/dhcp/dhcpd.conf. Exemple :

-```

-host ap-i1-01 {

- hardware ethernet 04:18:d6:e0:a5:b8;

- fixed-address 172.22.1.11;

-}

-```

-* Redémarrer le dhcp : `sudo service isc-dhcp-server restart`

-* Brancher la nouvelle borne, et la renommer dans l'interface web de Unifi

-* Mettre à jour le firmware :

-

-1) aller sur ubnt

-

-2) télécharger le firmware adéquat avec wget (à l'heure actuelle http://dl.ubnt.com/unifi/firmware/U7PG2/3.7.55.6308/BZ.qca956x.v3.7.55.6308.170413.1610.bin)

-

-3) le téléverser sur la borne avec scp (les identifiants par défaut sont : ubnt ; ubnt. Si la borne a été prise en charge par le contrôleur, les identtifiants sont ceux de Unifi, dans le *keepass Président* ).

-Exemple pour la borne 1 du i1 :

-```

-scp BZ.ar934x.v3.7.40.6115.170208.1059.bin ubnt@172.22.1.11:/tmp/fwupdate.bin

-```

-

-4) se connecter en ssh sur la borne et taper : `syswrapper.sh upgrade2 &`

-

-* Vérifier le bon fonctionnement de la borne

-

-

-## Les points d'accès

-

-À Rennes, les points d'accès sont les anciens de Brest des Cisco Small Business WAP4410N, voir

-À Brest voir : [ https://trac.resel.fr/wiki/Configuration/Ubiquiti ] *(TODO move that link)*

-

-Pour faciliter leur installation, chaque AP est couplé à un injecteur PoE Ethernet. Ceci nous évite de faire installer une prise électrique pour alimenter l'AP.

-

-Liens pour en commander d'autres si nécessaire.

- * http://www.ldlc.com/fiche/PB00080768.html Cisco SBS WAP4410N

- * http://www.ldlc.com/fiche/PB00091202.html TrendNet TPE111-GI

-

-## Liste des points d'accès

-

-| Nom | Adresse MAC | Série | Modèle | FCC ID | IC | IP | Notes |

-| --- | --- | --- | --- | --- | --- | --- | --- |

-| AP-FO-BAR | 04:18:d6:80:30:1b | | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.241 | Pas remplacée |

-| ap-fo-troll | f0:9f:c2:39:07:45 | 1650G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.242 | |

-| ap-i1-01 | f0:9f:c2:39:0a:9e | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.11 | |

-| ap-i1-02 | f0:9f:c2:39:0b:ae | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.12 | |

-| ap-i2-01 | 80:2a:a8:50:47:89 | 1610G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.21 | |

-| ap-i2-02 | f0:9f:c2:39:07:c6 | 1650G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.22 | |

-| ap-i3-01 | f0:9f:c2:39:0a:9f | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.31 | |

-| ap-i3-02 | f0:9f:c2:39:0b:0a | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.32 | |

-| ap-i4-01 | f0:9f:c2:39:0b:a1 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.41 | Le câble du mur ne marche pas : borne placée dans le local sur le PoE |

-| ap-i4-02 | f0:9f:c2:39:0b:75 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.42 | |

-| ap-i4-03 | f0:9f:c2:39:0b:9d | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.43 | |

-| ap-i5-01 | f0:9f:c2:39:0b:50 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.51 | |

-| ap-i5-02 | f0:9f:c2:39:0a:dd | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.52 | |

-| ap-i6-01 | f0:9f:c2:39:0a:d8 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.61 | |

-| ap-i6-02 | f0:9f:c2:39:0a:a5 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.62 | |

-| ap-i6-03 | f0:9f:c2:39:0a:f0 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.63 | |

-| ap-i7-01 | f0:9f:c2:39:0b:73 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.71 | |

-| ap-i7-02 | f0:9f:c2:39:0b:a0 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.72 | |

-| ap-i8-01 | f0:9f:c2:39:0b:9f | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.81 | |

-| AP-I8-02 | 04:18:d6:c0:2e:d1 | 1528G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.82 | Pas remplacée |

-| ap-i8-03 | f0:9f:c2:39:0b:aa | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.83 | |

-| ap-i9-01 | f0:9f:c2:39:0a:c4 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.91 | |

-| ap-i9-02 | f0:9f:c2:39:0a:d7 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.92 | |

-| ap-i9-03 | f0:9f:c2:39:0b:a4 | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.93 | |

-| AP-I10-01 | 04:18:d6:e0:a5:9c | | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.101 | Pas remplacée. Dans le grenier. Demander l'accès à la Maisel. |

-|ap-i10-02 | 80:2a:a8:d9:c2:39 | 1643G | Unifi AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.102 | Dans le grenier. Demander l'accès à la Maisel. |

-| ap-i11-01 | 80:2a:a8:d9:c2:ee | 1643G | UniFi AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.111 | Dans le grenier, accessible depuis le local ResEl |

-| ap-i11-02 | f0:9f:c2:39:0a:ed | 1707G | UniFi AP-Pro | SWX-UAPRO | 6545A-UAPRO | 1.112 | Dans le faux-plafond du rez-de-chaussé |

-| AP-I12-02 | 44:d9:e7:20:4c:27 | | UniFiAP-Outdoor+ | | | 1.121 | Morte ?? |

-| AP-I12-03 | 04:18:d6:c0:2e:d1 | | UniFiAP-Outdoor+ | | | 1.122 | Morte ?? |

-| AP-I8-04T | 80:2a:a8:d4:4e:99 | 6545A | Unifi-AP-AC-Pro | SWX-UAPACPRO | | 1.84 | En test |

-| AP-I8-05T | 80:2a:a8:d6:4f:55 | 6545A | Unifi-AP-AC-Pro | SWX-UAPACPRO | | 1.85 | En test |

-| AP-I8-21T | 80:2a:a8:d6:4f:e2 | 6545A | Unifi-AP-AC-Pro | SWX-UAPACPRO | | 1.86 | En test, I8 2ème étage, aile droite, fond du couloir |

-| AP-I8-22T | 80:2a:a8:d6:4f:29 | 6545A | Unifi-AP-AC-Pro | SWX-UAPACPRO | | 1.87 | En test, I8 2ème étage, aile droite, début du couloir |

-| AP-XX-XXT | 80:2a:a8:d6:4e:62 | 6545A | Unifi-AP-AC-Pro | SWX-UAPACPRO | | | Non en prod |

-

-

-## Liste des points d'accès à Rennes

-

-| Nom | Adresse MAC | Série | Modèle | FCC ID | IC | IP | Notes |

-| -------- | ----------------- | ----- | --------------- | ------------ | -------------- | ----- | ------------ |

-| AP-C1-01 | 80:2a:a8:c6:f0:7d | 1632K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.11 | Port 01 Rouky |

-| AP-C1-02 | 80:2a:a8:c0:14:3b | 1626K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.12 | Port 02 Rouky |

-| AP-C1-03 | 80:2a:a8:c6:ef:93 | 1632K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.13 | Port 03 Rouky |

-| AP-C1-04 | 80:2a:a8:99:40:66 | 1627G | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.14 | Port 04 Rouky |

-| AP-C1-11 | 80:2a:a8:c0:27:f1 | 1626K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.15 | Port 05 Rouky |

-| AP-C1-12 | 80:2a:a8:99:40:83 | 1627G | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.16 | Port 06 Rouky |

-| AP-C1-13 | 80:2a:a8:c0:25:f5 | 1626K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.17 | Port 07 Rouky |

-| AP-C1-14 | 80:2a:a8:c0:27:c5 | 1626K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.18 | Port 08 Rouky |

-| AP-S1-01 | 80:2a:a8:c0:26:34 | 1626K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.27 | Port 07 Rox |

-| AP-S1-02 | 80:2a:a8:c6:ef:06 | 1632K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.28 | Port 08 Rox |

-| AP-S1-11 | 80:2a:a8:c0:11:32 | 1626K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.21 | Port 01 Rox |

-| AP-S1-12 | 80:2a:a8:c0:25:bb | 1626K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.25 | Port 05 Rox |

-| AP-S1-13 | 80:2a:a8:99:41:7f | 1627G | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.26 | Port 06 Rox |

-| AP-S1-21 | 80:2a:a8:99:41:37 | 1627G | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.22 | Port 02 Rox |

-| AP-S1-22 | 80:2a:a8:99:41:f2 | 1627G | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.23 | Port 03 Rox |

-| AP-S1-23 | 80:2a:a8:c0:11:73 | 1626K | UniFi-AP-AC-Pro | SWX-UAPACPRO | 6545A-UAPACPRO | 1.24 | Port 04 Rox |

-

-Il reste les anciennes bornes de 2004 dans l'aile gauche du bâtiment des studios. Aujourd'hui (2017-05-06) il

-y a 4 bornes UniFi-AP-AC-Pro en rab pour les remplacer.

-

-## Problèmes de Wi-Fi constatés en 2016

-

-Depuis mi-2016 nous avons constaté de nombreux problèmes avec les bornes Unifi, voici la liste (non exhaustive) :

- * Perte de la borne dans le contrôleur

- * Perte de la borne sur le réseau (aucun paquet ne passe)

- * Diffusion du SSID, mais aucun paquets remontant l'UPLINK

- * Perte totale de la borne qui doit être réadaptée (plus rare)

-

-De nombreuses expériences ont été menés pour trouver l'origine de ces problèmes, mais aucune n'a été concluante, dans la liste il y a :

- * Déconnexion du contrôleur

- * Passage en adressage DHCP (et non statique)

- * Mise à jour du contrôleur

- * Mise à jour des bornes

-

-Nous avons finalement appelé le support Ubiquiti qui propose ainsi mi-novembre de remplacer le parc parce qu'il pense à un problème matériel.

-

-## Ressources

-* [Documentation Unifi Rennes](https://www.ubnt.com/download/unifi/unifi-ap-ac-pro/uap-ac-pro)

-* [Unifi how to update firmware](https://community.ubnt.com/t5/UniFi-Wireless/How-to-Upload-new-Firmwares-to-Controller/m-p/1720188/highlight/true#M189886)

-

-TODO

-

-## Articles liés

-* [Routage](Réseau/Routage)

-* [Certificats TLS](Sécurité/Certificats/TLS)

-

-## TODO (rédacteur)

-* Compléter les no des bornes

-* Vérifier la configuration de sécurité