Guide basique de fonctionnement du WiFi

En raison des complexités juridiques, aptosid ne fournit sur le Live CD que des logiciels strictement libres, consultez svp ce lien, pour plus d'information sur les sources de firmware non-libres.

Pour faire fonctionner le wifi, Vous avez besoin de vous connecter par cable juste quelques minutes, le temps de télécharger le firmware approprié.

Si une connection cablée n'est pas possible, vous aurez à copier le firmware sur une clé ou un support amovible et l'installer en root à partir du support:

#dpkg -i <firmware.deb>

Pour trouver le firmware approprié tout en n'ayant aucune information (marque, fabricant) sur la puce wifi, utilisez cette commande:

#fw-detect

Vous obtiendrez les informations suivantes:

#apt-get update
#apt-get install <nom du firmware>
#modprobe -r <nomdumodule>
#modprobe <nomdumodule>

Utiliser la ligne apt-get install que donne la commande fw-detect. Après que ce soit fait, vous devrez saisir certaines commandes en console avant de configurer votre périphérique.

Il vous faudra charger le module afin de pouvoir configurer votre périphérique.

En tant que root dans une console, saisir:

modprobe -r <nomdumodule>

modprobe <nomdumodulee>

Comme <nomdemodule> utilisez les informations que fw-detect vous aura donné auparavant. Une fonction utile de la console peut vous aider: bash completion:
Si vous n'écrivez que les premières lettres du <nomdumodule> et ensuite tabulez il complètera le nom du module (ex: modprobe ipw TABULATION) Cela vous évite les erreurs de saisie.

Les deux commandes modprobe ne vous donneront aucun message si la configuration est réussie, donc si vous retournez normalement au prompt, c'est que le module est bien chargé.

Vous pouvez le vérifier en faisant:

#lsmod | grep <module>

Maintenant lancez Ceni à partir du Menu-K - Internet ou le lancez-le à partir d'une console en root comme expliqué dans Se connecter en réseau - Ceni. Votre périphérique wifi sera maintenant reconnu et prêt à être configuré.

Pour configurer le WiFi à partir d'une interface graphique voir WiFi - roaming WPA-GUI

Modes opératoires de wpasupplicant pour Debian

En raison des complexités juridiques, aptosid ne fournit sur le Live CD que des logiciels strictement libres, consultez svp ce lien, pour plus d'information sur les sources de firmware non-libres.

Le paquetage Debian wpa supplicant fournit 2 modes opératoires intéressants car intégrés de près à l'infrastructure système de gestion réseau : ifupdown.

Contenus de cette section :

1. Spécifier quelle méthode on utilise avec wpa_supplicant

* Tableau des pilotes supportés
* Recommandations courantes concernant les pilotes

2. Mode #1: mode dirigé (Managed Mode)

* Exemples
* Tableau des options courantes
* Notes importantes sur le mode dirigé
* Comment Ça Marche ?

3. Mode #2: mode vagabond (Roaming Mode)

* wpa_supplicant.conf
* /etc/network/interfaces
* Contrôle du démon Vagabond avec wpa_action
* Réglages de précision du mode vagabond
* Le fichier de logs
* Utiliser des scripts externes de mapping (ex: guessnet)
* /etc/network/interfaces et mapping externe

4. En cas de problème

* ssids cachées

5. Considerations sur la sécurité

* Permissions des fichiers de configuration

1. Spécifier quelle méthode on utilise avec wpa_supplicant

La méthode wext sera utilisée par défaut sur toute interface qui ne mentionnerait pas explicitement le bon type de pilote à 'wpa-driver'. Utilisateurs des noyaux Linux 2.4 et inférieurs au 2.6.14 seront invités à spécifier un pilote de type wpa.

iface eth0 inet dhcp
	wpa-driver wext
	. . . . . plus d'options

Avertissement: la valeur 'wpa-psk' n'est valide que si:


   1. Il s'agit d'une chaîne caractères texte (ascii) comportant entre 8 et 63 caractères en tout
   2. Il s'agit d'une chaîne hexadécimale de 64 caractères

# Connexion à un point d'accès de ssid 'NETBEER' cryptée de type
# WPA-PSK/WPA2-PSK, utilisant la méthode 'wext' de wpa_supplicant,
# puisqu'aucune option de wpa-driver n'est spécifiée
# La phrase de passe est entrée comme chaîne de caractères ASCII.
# DHCP est utilisé pour obtenir une adresse IP.

iface wlan0 inet dhcp

        wpa-ssid NETBEER
        # phrase de passe en mode texte
        wpa-psk PlainTextSecret

# Connexion à un point d'accès de ssid 'homezone' avec un type d'encryptage
# WPA-PSK/WPA2-PSK, utilisant le gestionnaire de pilote 'wext' de wpa_supplicant,
# Le psk est fourni sous forme de chaîne hexadécimale.
#SDHCP est utilisé pour obtenir une adresse IP.

iface wlan0 inet dhcp
        wpa-driver wext
        wpa-ssid homezone
        # le psk hexadécimal est obtenu par encodage de phrase de passe texte
        wpa-psk 000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f

# Connexion à un point d'accès de ssid 'HotSpot1' et de bssid '00:1a:2b:3c:4d:5e'
# avec un type d'encryptage WPA-PSK/WPA2-PSK, utilisant le gestionnaire de pilote
# 'madwifi' de wpa_supplicant. Le phrase de passe est entrée comme chaîne
# de caractères ASCII. Une adresse réseau statique est utilisée.

iface ath0 inet static

        wpa-driver madwifi
        wpa-ssid HotSpot1
        wpa-bssid 00:1a:2b:3c:4d:5e
        # plaintext passphrase
        wpa-psk madhotspot
        wpa-key-mgmt WPA-PSK
        wpa-pairwise TKIP CCMP
        wpa-group TKIP CCMP
        wpa-proto WPA RSN
        # static ip settings
        address 192.168.0.100
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        gateway 192.168.0.1

# Un fichier utilisateur wpa_supplicant.conf est utilisé pour eth1.
# Toute l'information réseau est contenue dans ce fichier wpa_supplicant.conf
# Aucun type de pilote-wpa n'est spécifié, et donc wext sera utilisé
#DHCP est utilisé pour obtenir une adresse IP.

iface eth1 inet dhcp
wpa-conf /path/to/wpa_supplicant.conf

Tableau des options les plus courantes

Un bref sommaire des options 'wpa-' que vous pouvez utiliser dans la strophe dédiée aux contrôleurs réseau sans fil du fichier /etc/network/interfaces. Reportez-vous à la section "Notes importantes relatives au mode dirigé" pour une information se rapportant aux valeurs 'wpa-' valides et invalides

Avertissement : Toutes ces valeurs SoNt SenSibLes À lA CAssE dEs caRactÈRes !

Élément		Exemple de valeur	Description
=======         =============           ===========
wpa-ssid        chainedetexteplein      Fixe le ssid de votre réseau
wpa-bssid       00:1a:2b:3c:4d:5e       Adresse Mac de votre point d'accès
wpa-psk         0123456789......        Clé wpa de votre partage. Utilisez
wpa_passphrase(8) pour générer	le psk d'après votre phrase de passe
wpa-key-mgmt    NONE, WPA-PSK, WPA-EAP, Liste des protocoles utilisables pour
                IEEE8021X               authentifier votre clé
wpa-group       CCMP, TKIP, WEP104,     Liste des groupes de partage WPA
                WEP40                   utilisables
wpa-pairwise    CCMP, TKIP, NONE        Liste des partages pairwise
                                        utilisables avec WPA
wpa-auth-alg    OPEN, SHARED, LEAP      Liste des algorythmes d'authentification
                                        permis avec IEEE 802.11
wpa-proto       WPA, RSN                Liste des protocoles supportés
wpa-identity    monnomentouteslettres   ID de l'administrateur
                                        (Authentification EAP)
wpa-password    monmotdepasse           Votre mot-de-passe d'administrateur
                                        (Authentification EAP)
wpa-scan-ssid   0 ou 1              	Alterne la détection des ssid utilisant des
					appels à des trames de vérification spécifiques
					(Probe Request frames)
wpa-ap-scan     0 ou 1 ou 2             Ajuste la méthode de détection de
					wpa_supplicant

les fonctionnalités complètes de wpa-cli(8) doivent être implémentées. Tout élément manquant est considéré comme bug et doit être signalé comme tel. Les patches sont toujours des bienvenus.

Notes importantes relatives au mode dirigé (Managed Mode)

La plupart des options 'wpa-' exigent qu'au moins un ssid soit spécifié. Seulement quelques unes des options auront un effet général. Ce sont 'wpa-ap-scan' and 'wpa-preauthenticate'.

Toute option 'wpa-' spécifiée dans le fichier interfaces(5) est suffisante pour activer le démon wpa_supplicant.

La routine ifupdown de wpa_supplicant s'adapte au 'type" d'entrée qu'elle considère valide pour chaque option. Par exemple, si elle rencontre un champ en texte plein admissible pour une valeur spécifique, elle l'encadre automatiquement de guillemets avant de passer sa valeur à wpa_cli, qui à son tour ajoûte l'entrée au bloc réseau en construction via le socket wpa_supplicant ctrl_interface.

Lancer ifup manuellement avec l'option '--verbose' vous révèlera toutes les commandes utilisées pour créer un bloc réseau avec wpa_cli. Si la valeur utilisée pour toute option de type wpa-* dans /etc/network/interfaces est entourée de guillemets, il ne pourra s'agir que d'une entrée de type "texte" ou "ascii".

Certaines entrées sont formées d'une simple chaine hexadécimale (par exemple celle de la clé wpa-wep-key*).La valeur 'type' de l'option wpa-psk, est déterminée par un simple examen de toute valeur hexadécimale comportant plus d'un seul caractère.

Comment ça marche

Comme indiqué plus haut, tout élément se rapportant à wpa_supplicant est précédé d'un préfixe 'wpa-'. Chaque élément se rapporte à une propriété de wpa_supplicant décrite dans les pages de manuel ($ man) wpa_supplicant.conf(5), wpa_supplicant(8) and wpa_cli(8).

Le requiérant (supplicant) est lancé sans pré-configuration aucune à la base, et wpa_cli construit une configuration réseau en utilisant les paramètres que lui adressent les lignes 'wpa-*'.
Au départ le couple wpa_supplicant/wpa_cli ne fixent pas les propriétés du contrôleur wifi (comme le ferait iwconfig avec l'essid, par exemple), il informe plutôt le contrôleur de l'existence d'un point d'accès auquel il est possible de se connecter. Et lorsque le contrôleur wifi a balayé le secteur et détecté qu'un tel point d'accès est effectivement disponible, il règle alors ses propriétés.

Le script qui lance tout ce travail est:

/etc/wpa_supplicant/ifupdown.sh
/etc/wpa_supplicant/functions.sh

ifupdown.sh: Il est exécuté par run-parts, qui à son tour est invoqué par ifupdown durant les phases 'pre-up', 'pre-down' et 'post-down'

Au cours de la phase 'pre-up', un démon wpa_supplicant est chargé, suivi d'une série de commandes wpa_cli configurant un réseau en fonction des options 'wpa-' utilisées dans /etc/network/interfaces pour le contrôleur physique.

Si wpa-roam, le mode vagabond, est utilisé, un démon wpa_cli est chargé durant la phase 'post-up'.

Durant la phase 'pre-down', le démon wpa_cli est tué s'il existe.

À la phase 'post-down', c'est le démon wpa_supplicant qui est tué.

3. Mode #2: Mode Itinérant (Roaming Mode)

Un mode itinérant simplifié est intégré par ce paquetage. Il se présente sous la forme d'un script de comportement pour wpa_cli, /sbin/wpa_action, et prend le contrôle d'ifupdown une fois activé. La page man de wpa_action(8) décrit avec force détails ses caractéristiques techniques.

Pour activer l'interfaçage vagabond, vous adapterez à votre configuration la strophe suivante dans votre fichier /etc/network/interfaces :

iface eth1 inet manual
	wpa-driver wext
        wpa-roam /chemin/vers/wpa_supplicant.conf

Deux démons sont invoqués dans l'exemple ci-dessus : wpa_supplicant et wpa_cli. Ceci est nécessaire pour obtenir une wpa_supplicant.conf. Un bon point de départ est fourni sous la forme un fichier d'exemple de configuration :

 # copiez ce modèle dans /etc/wpa_supplicant/
        cp /usr/share/doc/wpasupplicant/examples/wpa-roam.conf \
                /etc/wpa_supplicant/wpa_supplicant.conf
        # ne permettez qu'à root de lire et écrire ce fichier
        chmod 0600 /etc/wpa_supplicant/wpa_supplicant.conf

IMPORTANT: il est fondammental que le fichier wpa_supplicant.conf utilisé se réfère à
      une 'ctrl_interface' afin qu'un socket de communication puisse être créé pour
      être relié via wpa_cli (wpa-roam daemon). Dans le modèle de configuration évoqué ci-dessus,
      /usr/share/doc/wpasupplicant/examples/wpa-roam.conf, la valeur neutre 'default' a été assignée.

Vous devrez éditer ce fichier de configuration, en y ajoûtant tous vos blocs réseau connus. Si vous ne comprenez pas ce que celà veut dire, commencez par lire la page man de wpa_supplicant.conf(5).

Pour chaque réseau, vous devez spécifier une option specifique pour 'id_str'. Il sera spécifié dans une simple serie de texte. Cette serie de texte donne la base du profil réseau; elle synchronise avec une interface logique définie dans le fichier interfaces(5). Lorsqu'aucun 'id_str' n'est définie, wpa_action utilisera l'interface logique de base. L'interface de base peut etre definie par l'option 'wpa-default-iface'.

Qu'est-ce que cela signifie? Illustrons le par un extrait tiré du manuel wpa_action(8).

exemple de wpa_supplicant.conf

wpa_supplicant.conf example:
network={
        ssid="foo"
        key_mgmt=NONE
        # cette id_str notifiera à /sbin/wpa_action 'ifup lafac' (d'activer 'lafac')
        id_str="lafac"
}

network={
        ssid="bar"
        psk=123456789...
        # cette id_str notifiera à /sbin/wpa_action 'ifup maison_static' (d'activer 'maison_static')
        id_str="maison_static"
}

network={
        ssid=""
        key_mgmt=NONE
        # pas de paramètre 'id_str' , /sbin/wpa_action 'ifup default' (activera 'default')
}

exemple de fichier /etc/network/interfaces

exemple de /etc/network/interfaces:
# le démon itinérant DOIT utiliser la méthode manuelle inet
# 'allow-hotplug' ou 'auto' garantissent que le démon démarre automatiquement
allow-hotplug eth1
iface eth1 inet manual

        wpa-driver wext
        wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf


# aucun id_str spécifié, 'default' est utilisé comme cible de mapping en réserve
iface default inet dhcp


# id_str="lafac"
iface uni inet dhcp

# id_str="maison_static"
iface home_static inet static

        address 192.168.0.20
        netmask 255.255.255.0
        network 192.168.0.0

        broadcast 192.168.0.255
        gateway 192.168.0.1

Une interface logicielle est activée par ifup et désactivée par ifdown, à mesure que wpa_supplicant s'associe ou se dissocie d'un ssid ou d'un réseau lui étant associé par l'option 'id_str' utilisée dans le fichier de configuration wpa_supplicant.conf .

Un log des actions réalisées par /sbin/wpa_action est créé à l'adresse /var/log/wpa_action.log . Joignez ce log en fichier joint si vous rapportez un bug.

Configurations avec wpa_supplicant, wpa_cli et wpa_gui

Les processus wpa_supplicant peuvent etre modifiés par les membres du groupe "netdev" si on a utilisé la configuration itinérante de l'exemple précédent (ou par les membres specifiés par GROUP= crtl_interface).

# la velaur default est assignée à ctrl_interface dans le fichier de modèle
	# /usr/share/doc/wpasupplicant/examples/wpa-roam.conf
        ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev

Pour interagir avec supplicant, les interfaces wpa_cli (mode console) et wpa_gui (Gui QT)
ont été fournies. Avec ces dernières vous pourrez vous connecter, déconnecter, ajouter/supprimer des blocs réseau,
fixer des paramètres de sécurisation, etc..

Contrôle du Démon itinérant avec wpa_action

Une fois le Démon itinérant lancé il assure le contrôle de ifupdown. Cela implique que wpa_cli appelle ifup quand wpa_supplicant s'est correctement associé à un point d'accès, et appelle ifdown quand la connexion doit être rompue ou fermée.

Tant que le Démon itinérant est actif il ne faut pas tenter de contrôler manuellement ifupdown, mais au contraire utiliser les commandes fournies à cet effet par /sbin/wpa_action pour arrêter et relancer le Démon itinérant. Par exemple, pour arrêter le démon itinérant sur le contrôleur 'eth1' :

wpa_action eth1 stop

Et quand il est nécessaire de mettre-à-jour le Démon itinérant avec de nouveaux paramètres détaillés, ceci peut s'opérer sans l'arrêter. On édite le fichier de configuration /etc/network/interfaces en y intégrant les nouveaux détails sur la configuration spécifique au réseau concerné (pointé par son 'id_str') et l'on relance simplement le démon comme ceci :

wpa_action eth1 reload

Pour accéder à une information précise et détaillée sur tout ce que wpa_action peut faire, lisez la page man de wpa_action(8)

Réglages de précision de l'itinérance

Vous pouvez rencontrer des situations où de multiples points d'accès sont à proximité immédiate. Vous pourrez choisir manuellement auquel d'entre eux vous préférerez vous connecter, à l'aide de wpa_cli ou wpa_gui, ou assigner à chaque réseau son propre niveau de priorité. Ceci s'opère au moyen de l'option 'priority' de wpa_supplicant.conf.

Le fichier de log

Un journal de l'activité (log) du démon itinérant s'enregistre dans /var/log/wpa_action.log. Il logue les informations suivantes :

*date et heure
*nom de l'interface et des événements d'activité
*valeurs des variables d'environnement (WPA_ID, WPA_ID_STR, WPA_CTRL_DIR)
*exécutions des commandes ifupdown
*états de wpa_cli (basé sur WPA-PSK, le réseau peut afficher différentes informations)
*bssid
*ssid
*id
*id_str
*pairwise_cipher
*group_cipher
*key_mgmt
*wpa_state
*ip_address

Utilisation de scripts de mapping externes (ex: guessnet)

Outre ses possibilités internes pour mapper les interfaces logiques au moyen de 'id_str', wpa_action peut appeler des scripts externes. Un script de mapping doit retourner le nom de l'interface logique devant être activée. Tout script de mapping utilisant le mécanisme de mapping de ifupdown (cf man interfaces) devrait pouvoir fonctionner s'il est invoqué par wpa_action.

Pour appeler un script de mapping, vous ajoûterez une ligne 'wpa-mapping-script nom-du-script' dans la strophe d'interface correspondant au contrôleur itinérant (roaming device). (Il se peut que vous ayez à specifier le chemin absolu conduisant à ce script)

Le contenu des lignes commençant par wpa-map est adressé au script de mapping. Du fait qu'ifupdown ne tolère qu'une unique ligne wpa-map, vous pouvez rajouter un numéro à wpa-map pour entrer des lignes supplémentaires, de cette façon :

iface wlan0 inet manual
        wpa-driver wext
        wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf
        wpa-mapping-script guessnet-ifupdown
        wpa-map0 maison
        wpa-map1 travail
        wpa-map2 ecole
        # ... lignes wpa-mapX additionnelles désirées

Par défaut le script de mapping ne sera utilisé que lorsqu'aucun 'id_str' n'est disponible pour le réseau concerné. Si vous préférez désactiver complètement l''id_str' de réserve pour utiliser exclusivement le script de mapping externe, utilisez l'option 'wpa-mapping-script-priority 1' pour passer outre au comportement fixé par défaut.

Si le script de mapping retourne une chaîne vide wpa_action utilisera l'interface en réserve fixée par défaut, à moins qu'une alternative soit définie à l'option 'wpa-roam-default-iface'.

Ci-dessous, figure un exemple utilisant guessnet-ifupdown en tant que script externe de mapping.

exemple de fichier /etc/network/interfaces avec mapping externe

# exemple de fichier /etc/network/interfaces avec mapping externe :
allow-hotplug wlan0
iface wlan0 inet manual

        wpa-driver wext
        wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf
        wpa-roam-default-iface default-wparoam
        wpa-mapping-script guessnet-ifupdown
        wpa-map default: default-guessnet
        wpa-map0 home_static
        wpa-map1 work_static


# ecole ne peut être choisie que si une 'id_str' y correspond
iface ecole inet dhcp

        # resolvconf
        dns-nameservers 11.22.33.44 55.66.77.88

iface maison_static inet static

        address 192.168.0.20
        netmask 255.255.255.0

        network 192.168.0.0
        broadcast 192.168.0.255
        gateway 192.168.0.1
        test peer address 192.168.0.1 mac 00:01:02:03:04:05


iface travail_static inet static

        address 192.168.3.200
        netmask 255.255.255.0
        network 192.168.3.0
        broadcast 192.168.3.255

        gateway 192.168.3.1
        test peer address 192.168.3.1 mac 00:01:02:03:04:05

iface default-guessnet inet dhcp

iface default-wparoam inet dhcp

Dans cet exemple wpa_action n'utilisera guessnet que pour sélectionner une interface logique quand aucune option 'id_str' n'a été fournie par le réseau en cours dans wpa_supplicant.conf.

Les lignes 'wpa-map' fournissent à guessnet les interfaces logiques à tester ainsi que l'interface à utiliser par défaut si tous les test échouent. Les lignes 'test' correspondant à chaque interface logique, sont utilisées par guessnet pour déterminer si la connexion à ce réseau est ou non effective. Par exemple, guessnet choisira l'interface logique 'maison_static' si un contrôleur utilisant l'IP 192.168.0.1 et l'adresse MAC 00:01:02:03:04:05 est détecté. Si aucun test ne donne de résultat alors guessnet configurera l'interface 'default-guessnet'.

Lisez les pages man de guessnet(8) svp, pour plus d'information.

4. En cas de problème

Afin d'adapter et de régler la connexion, ses associations et les problèmes d'authentification, il est suggéré de démarrer :

wpa_cli -i <interface>

dans une console distincte, avant de lancer l'interface. On peut alors utiliser la commande

level 0

la première, afin de voir tous les messages de déboguage. Utilisez ensuite

ifup --verbose <interface>

pour obtenir les messages du script démarrant wpasupplicant.

Ssids cachées

Pour référence, consultez #358137. Pour pouvoir vous associer à des ssids cachées, essayez de vous régler sur 'ap_scan=1' dans la section globale et sur 'scan_ssid=1' dans la section de bloc réseau de votre fichier de configuration wpa_supplicant.conf. Si vous utilisez le mode Dirigé (managed mode), vous pouvez tenter de le faire en entrant ces strophes :

iface eth1 inet dhcp
wpa-conf managed
wpa-ap-scan 1
wpa-scan-ssid 1
# ... vos options additionnelles de réglage

Si l'on en croit #368770, l'association peut prendre très longtemps à s'associer avec WEP. Dans certains cas, régler dans le fichier de configuration 'ap_scan=2' (ou utiliser la strophe 'wpa-ap-scan 2', qui revient au même) peut sensiblement aider à accélérer l'association.

5. Considerations sur la sécurité

Permission des fichiers de configuration

Il est important de préserver les PSK autres informations sensibles se rapportant à la configuration de votre réseau privé, en s'assurant que les fichiers de configuration importants où figurent ces informations ne soient accessibles en lecture, que pour leur seul propriétaire. Par exemple :

chmod 0600 /etc/network/interfaces
# substituez-y le chemin de votre fichier wpa_supplicant.conf
chmod 0600 /etc/wpa_supplicant/wpa_supplicant.conf

Par défaut, /etc/network/interfaces est accessible en lecture à tout le monde, et c'est donc un fichier inadapté à contenir des clés secrètes et autres mots-de-passe.