Configuration

Test du routeur (WGT624v2) et de la carte PCMCIA (WG511T) Wifi Netgear

Par Fred, le 25-05-2004

Accès direct à une page :
« »

La configuration

J’ai donc branché le routeur à mon modem ethernet (en l’occurrence une Freebox), au secteur et à ma machine de bureau via un câble ethernet. L’interface d’administration est par défaut à l’adresse 192.168.0.1 (j'ai changé ce paramètre pour 192.168.1.1 d'où l'adresse sur la capture d'écran), attention donc à réorganiser votre réseau si une de vos machines s’est déjà vu allouer cette adresse sous peine de conflit. A ma grande surprise, j’ai pu accéder à l’Internet sans même avoir configuré le routeur : il a détecté le modem et l’a configuré automatiquement, la connexion a été établie et partagée sur le réseau, un bon point pour le routeur. Il est toutefois à noter que la Freebox ne nécessite pas d’authentification pour se connecter, ce qui n’est pas le cas de tous les providers. Dans tous les cas, une configuration du routeur est plus que recommandée, même s’il fonctionne directement. Première initiative : mettre à jour le firmware du routeur. La mise à jour automatique ne détecte malheureusement pas la dernière version, et encore moins la version française visiblement non disponible. On peut toutefois mettre à jour son routeur manuellement en téléchargent sur le site de Netgear le nouveau firmware (http://kbserver.netgear.com/products...c/WGT624v2.asp) qui doit ensuite être « envoyé » au routeur via l’interface web. La mise à jour se passe sans encombre, pour ce test c’est la version 4.1.4 qui a été utilisée, elle est en anglais et date de mai 2004 (soit une dizaine de jours). On constate que le firmware est mis à jour une fois tous les 3 mois environ, les nouveautés sont plutôt des corrections de bugs que des nouvelles fonctionnalités. Domage qu'il ne soit pas Open Source, lorsque l'on voir le travail effectué sur le firmware du modèle concurrent Linksys on regrette que le matériel embarqué sur ce routeur ne permette pas d'en ouvrir l'accès au firmware (code propriétaire breveté oblige ...).
Après cette mise à jour, on peut enfin configurer le routeur.

L’interface et l’aide sont en anglais, attention donc aux anglophobes. L’interface est quand à elle claire et plutôt sobre, avec un menu latéral et une fenêtre centrale fractionnée entre les formulaires de configuration et l’aide. La première étape consiste à changer le mot de passe par défaut qui est « password », pas vraiment compliqué à deviner. On retrouve cette option dans le menu « Maintenance », sous « Set Password », on regrettera toutefois que l’on ne puisse pas changer de login par défaut. Si vous perdez votre mot de passe, pas de problème : vous pouvez réinitialiser votre routeur via le petit bouton située derrière le boîtier (en cas de plantage), une pression de 15 seconde réinitialisant tous les paramètres aux valeurs par défaut.

Il faut ensuite configurer votre connexion, un assistant vous y invite dès votre première visite de l’interface d’administration (dans mon cas, elle avait été configurée automatiquement), aucune difficulté à ce niveau. On passe ensuite à la configuration Wifi proprement dite, j'ai sélectionné le mode "auto 108Mbps" qui doit proposer automatiquement aux clients connectés le mode b (11), g (54) ou super-g (10

. Malheureusement, le mode super-g et ce mode automatique ne sont disponibles que sur le canal 6, si ce dernier est déjà occupé vous ne pourrez pas activer les fonctions super-g. Il faudra bien prendre soin de sécuriser votre réseau en activant la protection WEP standard 64 ou 128 bit, ou la plus récente et plus efficace protection WPA, ici en implémentation PSK. Dans les deux cas, il vous faudra entrer une clé de cryptage commune grâce à laquelle vous configurerez tous les postes sans fil. J’ai utilisé le WPA-PSK avec une clé de 63 caractères (le maximum) générée aléatoirement, il faudra toutefois penser à mettre à jour les pilotes de votre carte wifi WG511T pour qu’elle puisse supporter ce cryptage, toutes ne sont malheureusement pas compatibles (Le service pack 2 de Windows XP intègre toutefois les fonctions WPA-PSK, que vous pourrez utiliser avec une carte Wifi compatibles comme les modules Centrino par exemple). Le WPA est plus vulnérable et doit donc être proscrit en environnement hostile. Mon réseau se trouve dans un hôtel équipé d’un réseau Wifi Orange accessible aux clients, et je n’ai pas vraiment envie qu’ils s’introduisent chez moi, j’ai donc opté pour le WPA-PSK.

Une série d’options de filtrage web sont disponibles, parmi lesquelles l’interdiction de certains sites (par adresse ou par mot clé dans l'adresse), un journal des sites visités, et une fonction de blocage de certains services suivant les ports TCP de source ou de destination qu’ils utilisent. Le tout est applicable suivant certaines heures et à certaines machines du réseau (suivant leur adresse IP). Il est également possible d’obtenir par email des rapports de ce service de filtrage. Je n’utilise pas ces fonctions, mais je me demande pourquoi le routeur ne peut pas utiliser des listes publiques de sites « sensibles » au lieu de nous laisser les entrer à la main … un travail fastidieux voire impossible, mieux vaut se tourner vers des solutions dédiées propres à chaque poste ou un proxy filtrant. Malheureusement, le routeur ne permet pas non plus de router le contenu web via un proxy (méthode de proxy transparent) présent sur le réseau, une solution sans doute plus pratique et efficace que ces fonctions presque inutiles. Il est sans doute possible d’envoyer une liste de sites bannis par les fichiers de configurations du routeur, mais sa mémoire interne limite ces listes à quelques dizaines de sites et n’est donc pas appropriée pour monter une véritable solution de filtrage. Le WGT624v2 reste un routeur, si vous avez besoin de fonctionnalités plus avancées il vous faudra lui adjoindre une machine dédiée.

Les fonctions de maintenance permettent d’obtenir des information sur l’état du routeur et de la connexion (IP, firmware, statistiques du trafic, …), d’obtenir la liste des postes connectés au routeur avec leur adresse IP, MAC ainsi que leur nom Netbios. Il est également possible de sauvegarder la configuration du routeur en téléchargent un petit fichier sur votre poste, qui pourra ensuite être utilisé pour restaurer la configuration du routeur en cas de réinitialisation ou simplement pour revenir à une configuration précédente, une option très pratique à l’usage mais qui ne fonctionne pas toujours, le routeur refusant parfois de lire un fichier de configuration qu'il a pourtant créé.

On trouve enfin dans la section de configuration avancée la configuration DHCP qui permet de spécifier une adresse IP fixe pour chaque interface réseau (reconnaissance suivant les adresses MAC). Il est ainsi possible de limiter les périphériques sans fil au strict nécessaire en n’autorisant l’accès au réseau qu’à certains clients suivant leurs adresse MAC. Cette protection peut être outrepassée, mais elle constitue un bon complément au cryptage des échanges réseau Wifi. Il est également possible de configurer le firewall en ouvrant certains ports vers un poste du réseau local, l’interface est assez simple mais on regrette qu’on ne puisse pas rendre inactive certaines règles, il faut les effacer pour les désactiver. On pourrait enregistrer plusieurs configurations via la fonction de sauvegarde des paramètres du routeur, mais cette opération est plutôt fastidieuse, dommage. Personellement j'utilise l'UPnP qui permet d'ouvrir les ports dynamiquement sur le routeur, pour les intéressés je décris ma méthode dans le forum Netgear. On peut choisir de désactiver le firewall et spécifier un poste en DMZ, c'est-à-dire que ce poste sera disponible depuis l’extérieur sans être protégé par le firewall, mais ce poste n’étant pas séparé du reste du réseau comme dans une vraie DMZ cette fonction perd tout son sens : si cette machine est hackée, tout le réseau est potentiellement vulnérable. Il est ensuite possible de configurer un service de DNS dynamique, le seul disponible pour le moment étant DynDNS. Le reste concerne l’administration du routeur depuis l’Internet (à désactiver absolument) et l’UPNP que l’on peut activer ou non.

Finalement, l’interface est plutôt complète mais on regrette les fonctions de filtrage inutiles et l’impossibilité de déléguer le filtrage à une autre machine qui aurait pu faire office de proxy (impossibilité de mettre en place un proxy transparent). Au niveau de la sécurité le produit semble bien fourni, ce qui est un réel plus pour un réseau Wifi, et ses 4 ports ethernet feront largement l’affaire pour un réseau local domestique.

Pour ceux qui sont intéressés, un tutorial accompagné de nombreuses captures d'écran pour la configuration du WGT624 a été réalisé par le forum francophone Netgear Forum, il est disponible ici.