Quitter le forum et retourner au site

Recyclage d'un Cisco AIR-LAP1142N-E-K9 en 802.11n

Vous avez une procédure de configuration ou un conseil pour configurer un matériel particulier, partagez votre expérience dans cette partie.
Avatar de l’utilisateur
le Manchot Masqué
Administrateur du site
Messages : 663
Inscription : lun. 26 mai 2008, 21:05
Distribution : Debian, Ubuntu
Niveau : Moitié plein !
Localisation : Guebwiller

Recyclage d'un Cisco AIR-LAP1142N-E-K9 en 802.11n

Message par le Manchot Masqué »

Et si on recyclait un vieux Cisco AIR-LAP1142N-E-K9 en 802.11n, trouvé sur le web a un prix défiant toute concurrence ? (pour un point d'accès d'appoint, bien entendu...), avec notre OS préféré ? Attention, cette démarche n'a de sens que si vous avez déjà un certain nombre de matériels disponibles, et elle demande une certaine habitude de GNU/Linux et surtout de la ligne de commande en mode administrateur.

Pré-requis :
- un switch PoE capable d'alimenter la bête - environ 80€ pour un bon matériel, sinon il faut acheter une alimentation en sus - environ 25€
- un câble série USB/RJ45 de couleur bleu pour pouvoir utiliser minicom sur le port RJ45 bleu du Cisco (difficile de se tromper avec les mêmes couleurs...) - environ 20€

Étape 1 : configurer minicom

En root, sur notre ordi, on installe et on lance minicom -s.
Pour configurer la bête, il faut d'abord régler les paramètres du port série :
- port série : /dev/ttyUSB0
- débit/parité/bits : 9600 8N1
- Contrôle de flux matériel : Non
- Contrôle de flux logiciel : Non

Étape 2 : brancher et réinitialiser la borne

On branche notre câble série USB/RJ45 : la partie RJ45 va sur le Cisco (port RJ45 bleu), la partie USB va sur notre ordinateur.

On relie notre switch PoE qui fournira l'alimentation au port ethernet jaune du Cisco, en restant appuyer sur le bouton Reset jusqu'à ce que la diode clignote, marquant la réinitialisation de l'appareil. Autrement dit : on redémarre avec une configuration vierge.

Si tout se passe bien, on voit des lignes défiler dans minicom, détaillant le démarrage de l'appareil.

Parenthèse : il faut savoir que chez Cisco, les bornes WiFi peuvent être configurée de deux façons :
- une configuration "allégée" (lightweight, d'où le LPA dans le nom de l'appareil), prête à l'emploi pour les entreprises, mais qui demande un switch spécial onéreux, lequel centralise toutes les configurations (plus facile à gérer pour les administrateurs)
- une configuration "nomade" (autonomous), qui reprend le fonctionnement classique des points d'accès grand publics vendus en magasin, ou des box internet

On peut passer d'un mode à l'autre en changeant le firmware de l'appareil, ce que j'ai du faire ici, puisque comme précisé plus haut, mon modèle est livré au départ en mode entreprise.

Étape 3 : recherche du firmware


Pas de chance, l'appareil n'est plus soutenu par Cisco, qui semble avoir supprimé les firmware de son site internet.

Fort heureusement, en cherchant un peu sur le web, on trouve facilement le fichier c1140-k9w7-tar.124-25d.JA.tar ici nécessaire et même son pendant pour revenir dans le mode entreprise c1140-rcvk9w8-tar.124-23c.JA.tar.

Vous remarquerez que les firmware chez Cisco sont des archives non compressées GNU/Linux, qui contiennent toute la partie binaire du nouveau système, mais également les fichiers du nouveau serveur web, intégré à l'appareil.

Étape 4 : le serveur tftp

Le trivial FTP (protocole de transfert de fichiers) est un vieux protocole pas sécurisé du tout, mais qui permet de transférer des fichiers avec un minimum de ressources machines depuis ou vers un serveur TFTP. Il est notamment utilisé pour réinstaller des PC plantés, en cherchant des images disques de démarrage sur le réseau.

On installe donc atftpd qui fournit le serveur /usr/sbin/in.tftpd, appelé depuis /etc/inetd.conf par la ligne

Code : Tout sélectionner

tftp		dgram	udp	wait	nobody /usr/sbin/tcpd /usr/sbin/in.tftpd --tftpd-timeout 300 --retry-timeout 5 --mcast-port 1758 --mcast-addr 239.239.239.0-255 --mcast-ttl 1 --maxthread 100 --verbose=5 /srv/tftp
Cette ligne indique notamment où atftpd cherche ses fichiers : dans /src/tftp, dossier qu'il faut créer manuellement avec mkdir -p /srv/tftp, puis "ouvrir" à l'usager nobody via chown -R nobody /srv/tftp.

Il faut ensuite y copier notre fichier : cp c1140-k9w7-tar.124-25d.JA.tar /srv/tftp.

Tout est prêt pour lancer le serveur :

Code : Tout sélectionner

systemctl start atftpd.service 
systemctl enable atftpd.service (si vous voulez lancer le serveur au démarrage)
systemctl status atftpd.service 
Étape 5 : le client tftp

Lancer le serveur, c'est bien. Vérifier qu'il tourne et fait son boulot, c'est mieux.

On installe donc le paquet tftp qui fournit la commande du même nom.

On teste avec tftp sur le PC :

Code : Tout sélectionner

cd /tmp
tftp localhost
get c1140-k9w7-tar.124-25d.JA.tar
quit
ls -l /tmp/c1140-k9w7-tar.124-25d.JA.tar
Si tout est ok, on efface ce dernier fichier test : rm /tmp/c1140-k9w7-tar.124-25d.JA.tar

Étape 6 : ajouter un alias réseau

L'ordinateur étant sur le même switch que le Cisco, les deux cherchant leur adresse en DHCP sur une box internet distante, ils ne sont pas dans le réseau de base de l'appareil.

Le PC aura l'IP 10.10.10.1 qu'on configurera avec une ligne du type :
ip a add 10.10.10.1/24 dev eth0 (ou enp... quelque chose suivant votre distribution et vos paramétrages)
Toujours faire un petit ip a pour revérifier sa config réseau en console après la commande.

La borne aura l'IP 10.10.10.102/24 dans la suite.

Via minicom, la recette est celle du site
https://mrncciew.com/2012/10/20/lightwe ... onversion/, testée et approuvée par mes soins !

Code : Tout sélectionner

>enable
Cisco
#debug capwap console cli
#conf t
#ip default-gateway 10.10.10.1
#int g0
#ip address 10.10.10.102 255.255.255.0
#no shutdown
#ping 10.10.10.1
#archive download-sw /force-reload /overwrite tftp://10.10.10.1/c1140-k9w7-tar.124-25d.JA.tar
À partir de là, il faut être un peu patient : la mise à jour prend quelques minutes, et aboutit à la réinitialisation de l'appareil.

On revient dans la config :

Code : Tout sélectionner

>enable
Cisco
# sh ip int brief
et on repère l'IP DHCP que la borne a reçu.

Il suffit ensuite d'utiliser un navigateur web sur le PC pour se connecter en http://IP_POINT_ACCESS par défaut.

Bien entendu, il y a ensuite tout un tas d'autres étapes qu'on peut faire en ligne de commande pour sécuriser la box, restreindre l'accès, changer l'utilisateur et le mot de passe par défaut (beaucoup trop simples), fermer le HTTP et activer le HTTPS, fermer les ports telnet/ssh puisqu'on peut configurer ces bornes via ces protocoles, créer des liste de contrôle d'accès, qu'on peut appliquer ensuite sur les ports en entrée/sortie, configurer plusieurs SSID associés à plusieurs VLAN, etc.

Bref, on peut s'amuser... C'est un peu l'avantage de ce genre de matériel par rapport au matériel grand public : il permet d'explorer plus loin les limites du paramétrage, et offre un nombre impressionnant de possibilités de configuration, même si je reste toujours aussi prudent en termes de sécurité, Cisco étant un fabricant américain, la firme est soumise de fait à la NSA et aux lois extra-territoriales infâmes associées...

Cela étant, si vous me demandez où sont passés les fabricants français, demandez à l'UE, puisque c'est grâce à elle et à sa formidable politique que nous sommes toujours plus soumis aux USA, et notamment aux GAFAM...

Dans l'absolu, si vous pouvez donc vous passer de WiFi, c'est toujours préférable de rester en filaire. Le filaire, c'est plus de sécurité, plus de vitesse, moins de pollution électromagnétique, et c'est donc bien meilleur pour l'écologie et votre entourage ! À bon entendeu ! ;)
Répondre