Bonjour a toutes et tous.
Je cherche a creer un AP pour un gite.
Donc si je ne dit pas de betise, il y a des logs a conserver.
J’ai donc un PI, avec Raspbian sur lequel j’ai installer RaspAP. Puis NoDogSplash.
J’ai donc un PI qui fait office de point d’acces avec un portail captif.
Je bloque pour la mise en place des log legaux. ( stockage local ou distant)
Je n’ai pas de réponse exacte, mais regarde du côté du PiHole, car il filtre le traffic pour bloquer les pubs, mais, vu qu’il filtre, il peut aider aussi a avoir des logs. Peut-être une partie du PiHole te sera ta réponse.
@levelKro Merci pour ton retour. Je vais creuser ca.
j’ai peur que comme ca semble se baser sur les DNS, que se passe t il si les clients ont des DNS déjà paramétrer sur les différents clients.
Une autre solution serait de passer par un proxy transparent.
l’accès au web est bloqué par le firewall a l’exception du port du proxy
le firewall redirige les port http et https ( éventuellement ftp,…) vers le proxy
le proxy log les connexions
je suppose que le portail captif garde l"IP du client et permet donc d’isoler ses access.log
de ce j’ai ai compris,l’aspect légal obligerait à conserver un an les logs ( proxy et portail ) difficile d’évaluer la taille des fichiers et leurs rotations… ainsi que la charge système du RPI… l’accès à un VPN, etc.
En effet, j’ai personnellement abandonné l’idée de filtrer le réseau avec un RPi à cause des problèmes de performances.
Plus il y aura de clients connectés, plus les logs seront gros, et en simultané, il va créer un « lag » du au latency causé par les demandes répétés et l’exigence d’écrire dans un log. Ceci va faire que les clients rencontrerons des lenteurs.
À la différence d’un routeur, un RPi n’a qu’un point d’entrée/sortie (2 si tu active le Wifi). Le problèmes est que si toutes les demandes passe par le RPi, il sera limité par la vitesse réseau de ce dernier. Par exemple, un routeur avec des ports 1Gbps, c’est un « pur » 1Gbps par port (4Gbps total), souvent cette information n’est pas mentionné dans les spec, mais il y a aussi un limite total du réseau, par exemple moi j’ai 4 port 1Gbps sur le routeur, mais je sais qu’il peut gérer 10Gbps total sur la bande réseau. Pour éviter que mon réseau local soit affecté, car j’ai plusieurs ordinateur, j’ai ajouté des Hub Switch. Ce hub sépare le réseau pour garder l’accès local à haut débit. Les hubs sont des 100Gbps total avec chacun un port 1Gbps, sur un lien entre deux Hub, je connecte deux liens entre eux, ce qui fait que je peut passer 2Gbps de traffic entre les deux hubs. Je fais de même sur le routeur. Alors pour l’accès local j’ai de très bonnes vitesses.
En connectant par exemple 1 hub en un seul lien, tout les pc connecté à ce Hub sont limité par la vitesse du port sortant, soit 1Gbps. Alors si j’ai deux clients, en simultané, il ont théoriquement 500Mbps chacun.
Dans le cas d’un RPi, c’est la même chose. Le RPi1/2/3 ont des port Ethernet de 100Mbps, alors tout les clients « drop » à cette vitesse. Si la connexion est en Wifi, la bande passe à 54Mbps. Pour un usage basic, il aura peut de différence, mais dès qu’un stream sera lu, la vitesse des autres baissera grandement, et même celui qui écoute le Stream peut avoir une baisse des performances. (Buffering)
En simple, tu va créer un entonnoir de tes connexions, et la demande CPU sera élevé. Alors il faut idéalement ne pas faire passer les connexion via un RPi.
Il existe des routeurs pouvant logger les activité, comme mon Asus. Je peut garder les logs longtemps (trop même pour moi). Mais tu n’as aucun contrôle sur comment il sont gardé et l’accès à ces logs de sont pas direct, il faut les lires via le routeur. Reste que tu peux trouver un Routeur avec un Custom Firmware pour manipuler le routeur et avoir plus de souplesse.
Pour plus d’informations sur le sujet des Firmware custom;
Perso, si j’aurais à monté ça, je ne prendrait pas un RPi mais un PC d’ancienne génération, un 2 ou 4 coeurs minimum avec au moins 2Go de mémoire. J’ajouterais des cartes réseaux pour en avoir au minimum 2 de 1Gbps qui serait « bound », alors le traffic serais « balancé » est serait peu ou pas affecter par les autres utilisateurs. Avec par exemple 4 cartes réseaux, 2 sont l’accès pour le réseau, et 2 autres vers internet, chacun de ces paires serait bound (1+2 et 3+4), ainsi tu le place entre les clients et le routeur (ou Box dans le jargon Français) et ferais office de DNS, WAN et Firewall.