Activer un réseau Wifi invité sur un routeur avec le micrologiciel TomatoUSB
By Pierre-Alain B on Thursday, January 8 2015, 20:13 - Permalink
Nous allons détailler ici les étapes nécessaires pour activer un Wifi "invité" sur un routeur muni du micrologiciel Tomato (TomatoUSB). Par Wifi invité, j'entends un Wifi indépendant du Wifi principal : idéal par exemple pour partager sa connexion avec un voisin ou un ami que l'on ne souhaite pas voir fureter sur son réseau interne. Bien aussi pour les petites entreprises qui veulent présenter à leurs visiteurs un Wifi avec accès à internet mais déconnecté du reste du réseau de l'entreprise.
Voici donc comment procéder.
Etape 1 : créer une interface LAN spécifique avec son propre intervalle d'IP, son propre DHCP...
Dans TomatoUSB, dans l'onglet LAN, vous devriez vraisemblablement voir le bridge par défaut br0 correspondant à votre interface principale d'accès au Web. Nous allons ajouter une nouvelle interface br1 avec son propre DHCP et son propre intervalle d'IP.
Etape 2 : créer une interface sans fil virtuelle
Dans les fonctions avancées du micrologiciel TomatoUSB, nous allons cette fois ajouter une interface sans fil virtuelle.
Evidemment, il conviendra de choisir un code de sécurité différent de celui de l'interface principale !
Etape 3 : on place chaque réseau dans des VLANs distincts
On crée un nouveau VLAN distinct du VLAN principal utilisé pour br0. On branche donc br1 sur ce VLAN et voilà un bon cloisonnement !
Etape 4 : on rajoute une couche d'iptables
Dans Administration->Scripts, on ajoute les règles suivantes au pare-feu (iptables) pour n'autoriser aucun échange entre les 2 bridges.
iptables -P FORWARD DROP iptables -A FORWARD -i eth0 -o br0 -j ACCEPT iptables -A FORWARD -i br0 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o br1 -j ACCEPT iptables -A FORWARD -i br1 -o eth0 -j ACCEPT
et hop le tour est joué !