Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5

Bouton Internet
#1

Bonsoir, me voici de nouveau sur le forum Wink Je cherche à mettre sur mon serveur web, un bouton qui lance une commande dans le terminal. Je m'explique : En gros, j'ai mon rpi, relié à la box, et j'héberge un serveur web dessus. Tous les ordis de mon LAN sont connectés en VPN au rpi, et Internet est d'office désactivé au démarrage (ifdown eth0). Je voudrais faire un bouton qui me permette d'activer la connexion Internet (ifup eth0) et la connexion VPN, directement depuis l'interface web de mon serveur sur un poste client, et j'aimerais autant que possible, ne pas avoir à installer de client ssh.

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#2

Salut,
Avec PHP et la commande exec tu pourras le faire. Tu mets le user www-data de ton serveur web dans les sudo users (avec visudo pour la commande ifup) et tu lances ta commande. Il faudra peut être modifier le fichier /etc/php5-fpm/php.ini pour le répertoire d'exécution de la commande ifup car tu devras mettre le path complet pour pouvoir l'exécuter.

Raspberry Pi Home Server : http://www.pihomeserver.fr
Hotspot Wifi avec portail captif pour Raspberry Pi: Kupiki Hotspot
Répondre
#3

Bonsoir, normalement tu peut utilisé la commande "systeme en PHP sur ton serveur, comme pour utiliser les GPIOs via une intérface web depuis un autres PC.

Mais en relisant tes explications, je ne comprend pas comment tu peut accéder a ton Rpi si ton "eth0" est down. a moin que j'ai mal compris ce n'est pas possible par le web.

En revanche tu peut aussi utiliser un bouton poussoir racordé à ton Rpi sur les GPIOs qui activera ton "eth0" en up.

J'espére avoir pu t'aider.
Répondre
#4

Citation :comment tu peut accéder a ton Rpi si ton "eth0" est down
Ah oui, :8 :8 Remarque pertinente.
En fait, je voudrais que tous les ordi de mon lan puisse accéder à mon serveur web hébergé sur mon rpi, sans pour autant pouvoir accéder à Internet. Il y aurait en effet, un bouton sur mon l'interface web qui permettrait de connecter le rpi à Internet, et donc de pouvoir accéder, à Internet par vpn sur l'ordi effectuant la requête.
Peut-être peut-on séparé la connexion Internet du lan ???

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#5

Tu transformes ton rpi avec accès internet en routeur. Les autres ordinateurs seront reconfigurés pour être sur le LAN géré par le pi (qui devra avoir des services DNS, DHCP, etc.)
Ca peut faire un truc genre :
<box FAI> <-> <rpi routeur> <-> <les autres PCs>

Le rpi sera le controleur des accès
Il te faudra par contre une deuxième interface LAN sur le Raspberry
Si tu as un matériel type intel, plutot que le pi, utilise le et installe pfsense dessus.

Raspberry Pi Home Server : http://www.pihomeserver.fr
Hotspot Wifi avec portail captif pour Raspberry Pi: Kupiki Hotspot
Répondre
#6

pi35 a écrit :
Citation :comment tu peut accéder a ton Rpi si ton "eth0" est down
Ah oui, :8 :8 Remarque pertinente.
En fait, je voudrais que tous les ordi de mon lan puisse accéder à mon serveur web hébergé sur mon rpi, sans pour autant pouvoir accéder à Internet. Il y aurait en effet, un bouton sur mon l'interface web qui permettrait de connecter le rpi à Internet, et donc de pouvoir accéder, à Internet par vpn sur l'ordi effectuant la requête.
Peut-être peut-on séparé la connexion Internet du lan ???

Si j'ai bien compris (mais pas très clair ton truc Wink )
pourquoi ne pas modifier la table de routage du Rasp (en gros enlever la default gw) ?
Une commande pour la remettre .. et hop... a nouveau internet.. ?
Répondre
#7

En fait, je veux juste dissocier la connexion à mon LAN et la connexion Internet (tout est en rj45). Ensuite, je voudrais démarrer Internet depuis n'importe quel ordi du LAN (depuis une interface web), en sachant que le rpi est branché à la box et que tous les ordinateurs de mon LAN se connectent par VPN au raspberry pi.
Uggy a écrit :pourquoi ne pas modifier la table de routage du Rasp (en gros enlever la default gw) ?
Une commande pour la remettre .. et hop... a nouveau internet.. ?
Pourrais-tu développer, je ne comprend pas bien. Il faut également tenir compte du fait qu'il faut que l'on puisse se connecter à lnternet en appuyant sur un bouton du serveur web situé sur le rpi.
Selon chris57100, il est possible de le faire :
Citation :Avec PHP et la commande exec tu pourras le faire. Tu mets le user www-data de ton serveur web dans les sudo users (avec visudo pour la commande ifup) et tu lances ta commande. Il faudra peut être modifier le fichier /etc/php5-fpm/php.ini pour le répertoire d'exécution de la commande ifup car tu devras mettre le path complet pour pouvoir l'exécuter.
Mais comment modifier la table de routage en PHP ???

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#8

pi35 a écrit :Ensuite, je voudrais démarrer Internet depuis n'importe quel ordi du LAN (depuis une interface web),
Jusque là ..ok

pi35 a écrit :en sachant que le rpi est branché à la box et que tous les ordinateurs de mon LAN se connectent par VPN au raspberry pi.
c'est là que ce n'est pas clair..
Ton Rasp est dans ton LAN.. les ordis de ton LAN sont dans ton LAN..
Tout le monde est dans le LAN.. pourquoi se connecter "par VPN" ? ? ? ??

pi35 a écrit :Mais comment modifier la table de routage en PHP ???
Php permet de lancer des commandes "systeme".. donc tu lanceras juste un script qui modifiras la table de routage..
Répondre
#9

Je voudrais que les ordis de mon LAN se connectent à Internet en passant par un tunnel http sécurisé sur mon rpi. Ainsi, si j'utilise un ordinateur lambda sur mon LAN, c'est l'ip du rpi qui apparaitra, et donc, cela va améliorer la sécurité de mon réseau (Avec linux, plus de virus, ou très peu....)
En réalité, je fais ça car les utilisateurs de mon LAN sont complètement omnubilés par la sécurité des ordis et craignent par-dessus tout les VIRUS qui infectent leurs windows. Ils étaient un peu perplexes à l'idée de monter un LAN avec un ordi connecté à Internet, qui pourrait infecter le réseau, et j'ai tenté de proposer une solution : (N.B : Un serveur web est situé sur le rpi.) Nativement, le serveur est disponible, mais il n'y a pas de connexion Internet (pas besoin de pourrir le réseau si on n'a pas besoin du web Wink). Cependant, via l'interface web (et donc le fameux bouton), il est possible de premièrement, connecter le rpi à Internet, puis, de récupérer la connexion du rpi sur l'ordi lambda en se connectant sur le rpi par vpn.
Personnellement, je pensais que la chose serait assez simple à mettre en oeuvre, (je voulais juste activer ou désactiver le eth0 au départ) mais je n'avais pas pensé^^^ que si on enleve le eth0, l'interface web n'est plus disponible. Bref, je cherche des solutions pour mon problème.

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#10

pi35 a écrit :Je voudrais que les ordis de mon LAN se connectent à Internet en passant par un tunnel http sécurisé sur mon rpi.
Ainsi, si j'utilise un ordinateur lambda sur mon LAN, c'est l'ip du rpi qui apparaitra, et donc, cela va améliorer la sécurité de mon réseau (Avec linux, plus de virus, ou très peu....)
Si tu as 1 connexion Internet "normale", tu as donc a priori 1 adresse IP publique. Ceci quelquesoit le nombre de PCs dans dans LAN connecté "derrière" ta box.
Pour que tous les PCs du LAN puissent se connecter a Internet en même temps, la box est donc en mode "routeur" c'est a dire que c'est ta box qui a ton IP publique sur son interface wan.
Toutes les machines de ton LAN on une adresse privée RFC1918 non routable sur internet.
Quand un pc de ton lan sortira sur internet.. qu'il le fasse en direct ou a travers un rasp (qui n'est ni plus ni moins un pc de ton lan) ta box fera de la NAT et modifieras le paquet IP en remplacant l'adresse source (privée) par l'adresse publique de ta connexion.

Autrement dit, que tu sortes par ton PC en direct.. ou à travers ton Rasp.. vu d' Internet ca ne changera rien, dans les 2 cas on verra uniquement ton IP publique. (ta box)

J'ai pas pigé non plus en quoi un tunnel http allait améliorer la sécurité. (mais explique moi .. ; ) )


pi35 a écrit :En réalité, je fais ça car les utilisateurs de mon LAN sont complètement omnubilés par la sécurité des ordis et craignent par-dessus tout les VIRUS qui infectent leurs windows.

Je ne vois pas non plus le rapport entre tunnel http et les Virus.
Tes machines windows iront prendre leurs emails sur internet.. Tunnel ou non.. Ils pourront récupérer un exe.. tunnel ou non..

pi35 a écrit :Bref, je cherche des solutions pour mon problème.

J'ai plutot l'impression que tu cherches comment implémenter la solution que tu as choisie.. alors que cette solution ne répond probablement pas a ton problème de sécurité Wink
Répondre
#11

Cela s'appelle, chez moi, un serveur proxy... (en excluant le VPN bien évidemment, après tu peux cumuler).
Donc si j'ai bien compris ce que tu veux faire :
  1. comme te le disait Uggy, tu installes ton RPi juste derrière ta box par exemple, et tu le configures en tant que serveur proxy (avec squid par exemple -> je n'ai pas vérifié s'il est dispo pour RPi, mais il n'y a pas de raison...).
  2. ensuite, tu configures tes clients pour exclure du proxy toutes les @IP locales (-> quand tu veux aller sur ton serveur web, ça reste en interne), pour le reste, ça passera par le proxy (donc ton RPi) et c'est lui qui ira faire les requêtes sur le net à la place de tes clients et qui redistribuera comme il le faut en retour.

Avantage supplémentaire du proxy par rapport à un simple routeur (même si selon moi l'objectif des équipements n'est pas du tout le même), tu peux ajouter des listes blanches/noires au proxy et déjà établir un premier tri -> tu interdits par exemple les sites ou thèmes susceptibles de contenir les "fameux virus" (porn, jeux d'argent en ligne...)

Mais, toujours de mon point de vue, aujourd'hui le plus "gros risque" ne provient plus du fameux virus tel qu'on le connaissait il y a quelques années, mais plutôt de toutes ces me***s de spams, malwares, spywares & Co. qui pullulent partout et ont plutôt tendance à voler tout et rien, très souvent à ton insu si tu n'es pas vigilent.
Répondre
#12

Si la question se résume uniquement (et quelque soit les raisons) a "comment couper/allumer l'acces Internet pour les machines du LAN.. le tout a travers une interface web sur le Lan"
Je vois 2 solutions:
- configurer les PCs pour toujours sortir a travers le Rasp.. puis ensuite dire a se Rasp qu'il connait ou ne connait pas sa default gw (ta box)
- mettre un relais sur l'alim de ta box.. piloté par les GPIOs du Rasp.. piloté par l'interface web du rasp...

La seconde solution a l'avantage de
- ne pas avoir a faire passer tous les pcs par le rasp
- ne faire avoir de conso electrique de la box quand internet n'est pas nécessaire.

Mais encore une fois, je ne suis pas sûr que cela réponde a ta problématique "sécurité"...
Répondre
#13

Hawkeye a raison, il y a aussi la possibilité de passer par un proxy sur le Rasp. Dans ce cas il suffit de couper le proxy pour couper internet aux PCs (au lieu de couper la default gw)
L'inconvénient c'est que certaines applis ne sont pas compatibles avec l'utilisation d'un proxy.. donc pour surfer depuis un navigateur ok.. mais pour que d'autres trucs accedent a Internet .. (ssh .. scp .. ftp...)...
Répondre
#14

Uggy a écrit :comment couper/allumer l'acces Internet pour les machines du LAN.. le tout a travers une interface web sur le Lan
Voilà, tu résume admirablement mon problème. Ce que je voulais faire initialement, c'est que toutes les requêtes http, passe par mon raspberry, afin d'éviter qu'un petit hacker de m**** puisse accéder à l'ordi lambda. Il serait bloqué sur le rpi. Le vpn est juste une sécurité supplémentaire. De plus, j'aimerais contrôler un peu les paquets qui passent par le rpi, toujours pour la lutte contre les virus. Il faudrait également pouvoir rallumer le raspberry à distance, via wake on lan. Mais est-ce possible avec le raspberry pi ??? Enfin, la solution de Hawkeye me semble idéale, encore faut-il qu'elle soit réalisable sur Raspbian. Uggy, je n'ai pas bien compris ton histoire de relais sur le gpio, pourrais-tu développer ???

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#15

pi35 a écrit :Ce que je voulais faire initialement, c'est que toutes les requêtes http, passe par mon raspberry, afin d'éviter qu'un petit hacker de m**** puisse accéder à l'ordi lambda. Il serait bloqué sur le rpi.
Vu que toutes les machines de ton LAN seront en adressage privé (vu que tu n'as qu'une seule connexion internet.. et donc une seule adresse IP publique), tant que tu ne configures pas des regles de NAT précises dans ta box, les machines du LAN ne seront pas accessibles depuis Internet.

pi35 a écrit :Il faudrait également pouvoir rallumer le raspberry à distance, via wake on lan. Mais est-ce possible avec le raspberry pi ???
Pas a ma connaissance.

pi35 a écrit :Uggy, je n'ai pas bien compris ton histoire de relais sur le gpio, pourrais-tu développer ???

- Tu achètes 1€ un relais 220V sur ebay.. tu le branches en "coupure" sur l'alimentation de ta box (220V)
- Tu relies l'entrée de commande 5V du relai a travers 1 transistor et une ou 2 résistances a la sortie d'une des GPIOs du Rasp.
- Depuis le Rasp tu passes cette GPIO a 0V -> Ca donne l'ordre au relais de couper le 220V de la box (plus internet sans box)
- Depuis le Rasp tu passes cette GPIO a 3.3V -> Ca donne l'ordre au relais de laisser passer le 220V de la box (internet se rallume)


Je pense cependant toujours qu'on ne répond pas a ta problématique de hackers, de virus, et de sécurité.. mais bon Wink
Répondre
#16

Citation :les machines du LAN ne seront pas accessibles depuis Internet.
Pourtant, des services sur Internet permettent de le faire...
N'empêche que quand bien même, on allume la connexion internet à l'aide du relais, il faut bien la partager avec les autres ordis du LAN, et le VPN sert justement à sécuriser ces échanges. Comment mettre en place la connexion vpn ???
Un petit schéma pour mettre les idées au clair :
FAI
I
V
*******
* Rpi *
*******
* *
* *
* *
******** ********
* PC 1 * * PC 2 *
********* ********
I
I
I
V
******
* TV *
******

Les traits en * sont des connexions vpn et les traits - des connexions "normales" par rj45.

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#17

pi35 a écrit :Pourtant, des services sur Internet permettent de le faire...
Non.
Pas tant que le poste dans ton LAN initie d'abord la connexion vers un serveur sur Internet.
ou
Que tu ais configuré les bonnes règles de NAT dans ta box.


J'ai oublié de préciser que pour cette solution avec le relais fonctionne, il faut en + un routeur wifi avec switch qui lui reste alimenté pour router les paquets entre les PCs du LAn quand la box n'est pas alimentée.

Dans ce cas il faut la box en mode bridge

------------------------------------------------------------------------------------GPIO--Rasp-[IP priv3]---------------wifi--------------|
|
220V -----------Relais------------- Box (NAT/FW) ---------------------- [IP Pub Wan] WRT54G -- switch interne - [IP Priv LAN 3] -------------fil---------------------[IP priv1]----PC1
| --------------wifi--------------------[IP priv-2]---PC2
Internet ----------------------------------------|


Pour ton histoire de VPN et du pourquoi tu veux faire cela (sécu), je pige toujours pas ton histoire .. je lache l'affaire Wink
Répondre
#18

Attends, mais pour l'instant tu fais comment pour récupèrer la internet sur un ordi du lan (avec le relais) ???

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#19

pi35 a écrit :Attends, mais pour l'instant tu fais comment pour récupèrer la internet sur un ordi du lan (avec le relais) ???

Tu disais dans un post précédent:

Citation :En fait, je voudrais que tous les ordi de mon lan puisse accéder à mon serveur web hébergé sur mon rpi, sans pour autant pouvoir accéder à Internet.

Donc box éteinte, tu n'as pas Internet.


Quand le relais alume la box.. le WRT54G (par exemple) récupére une adresse IP publique.. et les PCs qui sont connectés dessus via la patte LAN.. peuvent donc avoir Internet en + de joindre les autres machines du LAN.
Répondre
#20

Oui, mais la finalité, c'est qu'il puisse accéder à Internet en appuyant sur un bouton situé sur le serveur du rpi. En effet, je ne veut pas que tous les ordis de mon lan puisse accéder directement à Internet, ils devront passer par l'interface web du raspberry. Mais ce que je veut dire, c'est comment partager la connexion Internet du rpi jusqu'à un ordi lambda ???

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#21

Ouch, pour moi, ce que tu cherches à faire est une usine à gaz !
La sécurité est effectivement un aspect important à prendre en compte aujourd'hui, mais essentiellement vis-à-vis de l'extérieur. De là à monter des VPNs en interne... c'est se compliquer la vie et on dépasse le rayon de la paranoïa, surtout à "notre niveau", j'entends par là particulier ou TPE/autoentreprise. (je ne suis même pas certain que dans des sociétés "sensibles" ce soit le cas).
Il faut retenir que "trop de sécurité tue la sécurité" : je m'explique -> à vouloir tellement sécuriser les choses (surtout quand elles ne le nécessitent pas forcément), on multiplie les règles de flux, firewall, routage... et du coup, ça en devient tellement complexe que l'on finit par contourner ou tout couper pour pouvoir faire quelque chose.
La seule solution efficace répondant à tes besoins (ou tes utilisateurs), c'est de ne pas connecter tes PCs à un réseau qui a accès au net !
Après quelque soit la solution que tu choisisses, il y aura toujours un risque dès l'instant où une ouverture sur l'extérieur existe.

Une autre solution pourrait être, sans trop de travail et en s'affranchissant de l'usine à gaz, de monter un portail captif (ce qui d'une certaine manière revient à mettre en place un serveur proxy).
Ton RPi reste connecté sur ta box/modem et héberge le portail captif. Tout ce qui est URL internes (LAN -> intranet... le serveur web de ton RPi) peut être atteint directement sans paramétrage particulier et dès l'instant où tes utilisateurs souhaitent aller sur le net, à ce moment là, ils tombent sur une page qui leur demande de s'identifier pour sortir.
Ainsi, la sortie sur le net ne peut être que "volontaire" de la part des tes utilisateurs et les ordinateurs ne restent "exposés" que le temps de la session ouverte par les utilisateurs.

Des produits comme PfSense peuvent effectivement jouer ce rôle en plus d'autres fonctionnalités (firewall, routeur...).
Il y a quelques années, j'avais également testé Untangle qui n'était pas mal du tout avec un principe de briques/plugins, mais je t'avoue que je n'y ais pas retouché depuis.

Maintenant, ça ne reste que mon point de vue Wink
Répondre
#22

Citation :pas connecter tes PCs à un réseau qui a accès au net !
Hawkeye, ce que je veut faire, c'est que justement, les PC de mon LAN, puissent accéder à Internet en gardant un minimum de sécurité. Tout au pire, il y aurait un seul ordinateur connecté sur Internet, et il faudrait monter un système, pour que cet ordi ne puisse pas infecté le réseau. Mais tu parlais de proxy, pourrais-tu expliquer un peu mieux le principe et la mise en place. Wink

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#23

pi35 a écrit :
Citation :pas connecter tes PCs à un réseau qui a accès au net !
Hawkeye, ce que je veut faire, c'est que justement, les PC de mon LAN, puissent accéder à Internet en gardant un minimum de sécurité. Tout au pire, il y aurait un seul ordinateur connecté sur Internet, et il faudrait monter un système, pour que cet ordi ne puisse pas infecté le réseau. Mais tu parlais de proxy, pourrais-tu expliquer un peu mieux le principe et la mise en place. Wink

pour les proxy tu trouveras toutes les infos ICI
Répondre
#24

Non, je voudrais plutôt savoir comment monter un proxy sur mon rpi.

Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !! Smile
Répondre
#25

en rajoutant quelque mot ICI ça passe tout seul
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)