Configurer un réseau wifi d'invités avec Apple Airport Express

On a tous des amis, de la famille qui passent à la maison de temps en temps ou bien plus régulièrement, et la question fini toujours par être posée : "Tu peux me filer ton code wifi ?"

Personnellement vu la tronche de mon code wifi, je ne le donne pas toujours. Alors j'en avais fait un QR Code que j'avais imprimé sur une feuille A4 et affiché chez moi. Il suffisait de le scanner avec un smartphone pour s'y connecter. Pratique, non ? Bon ... oui c'est pratique, mais tous les smartphones ne proposent pas cette fonctionnalité, et côté sécurité c'est moyen, et puis je commence à entrer dans l'éco-système Ubiquiti avec un USG et un Unifi Switch-8p donc pourquoi ne pas en profiter, avec le nombre fou de fonctionnalités que ces appareils proposent ! L'idée, au final, étant de bénéficier de la fonctionnalité "Réseau invités" et diffuser deux autres SSID (un pour le 2,4GHz et un pour le 5GHz) destinés aux invités.

Alors côté Unifi, tout est déjà fait, je en rentrerai pas dans le détail. Si certains veulent en savoir plus, je conseille les différents tutos sur Internet (dont Wireless.fr où je suis aussi rédacteur ;) ) . Le sujet de ce post étant vraiment la config côté VLAN et Airport Express.

En théorie, il faut activer le mode routeur sur l'AP pour pouvoir router en interne de l'AP les deux réseaux WiFi. Un des inconvénients de cette méthode c'est qu'elle créé deux nouveaux sous-réseaux IP, un pour chaque WiFi. Pourquoi faire ça ? Et bien c'est à Apple qu'il faudrait demander. En réalité le mode Invités utilise un VLAN renseigné en dur dans l'AP et pour router de ce VLAN au reste du monde il faut ... vous l'avez deviné : un routeur.

Dommage, le mode routeur de l'AP ne m'intéresse pas puisque j'ai déjà un routeur qui fait très bien l'affaire. Mais alors, comment faire ? Et bien c'est plus simple qu'il n'y parait, en fait on peut activer la fonctionnalité "Réseau d'invités" de l'Airport Express sans forcément activer son mode routeur, et transporter le réseau invités jusqu'au routeur existant via le VLAN configuré d'usine dans l'Airport Express.

L'idée ici, sera d'en profiter et d'utiliser ce VLAN pour séparer notre réseau wifi nomal de celui des invités (Le but sera de limiter la bande-passante, de bloquer les sites olé-olé, et d'empècher n'importe-qui de se connecter (RADIUS + vouchers)). Facile à dire, sauf que ... ben y'a pas tant que ça de réglages sur l'Airport Express.

Bon, allez trèves de suspens il va falloir utiliser le VLAN 1003 pour le réseau d'invités et tout autre VLAN pour notre réseau wifi à nous.

Ce qu'on va faire en résumé :

C'est tout simple, il suffit de créer un VLAN 1003 sur le routeur, le switch et d'affecter un port du switch dans ce VLAN (il faudra tagguer le VLAN 1003 sur le port). Si vous ne disposez pas de switch manageable ce n'est pas grave, les switches basques transportent de base tous les VLANs (4095). Il suffira alors de brancher l'Airport Express sur un D-Link, par exemple, qui lui-même sera branché sur notre routeur prenant en charge les VLANs. Pour la simplicité des choses, on garde le VLAN par défaut (1) pour tout le reste.

Côté Airport Express, on commnce par activer le mode invités

Dans mon cas je n'active pas de sécurité sur le réseau car mon but est de simplifier la vie des invités. Il n'auront alors qu'à se connecter au réseau wifi et, selon mon humeur, je leur donne un voucher (code à entrer) qui limitera la bande-passante, le temps passé sur Internet. Je peux aussi leur créer un identifiant sur mon serveur RADIUS qui limitera moins la bande passante et qui leur permettra de se connecter à chaque fois qu'ils viendront chez moi.

Voilà, tout simple mais alors il faut le savoir, que l'Airport Express sait faire du VLAN et qu'on peut utiliser le mode bridge pour activer un SSID supplémentaire pour les invités sans activer de routage à ce niveau. A retenir, donc bien que les Airport ne soient plus commercialisés par Apple.

Prochaine étape : l'achat d'une UniFi AP AC-Lite qui va permettre de faire tout ça automatiquement via le serveur UniFi et qui permettra un plus grand contrôle de la bande passante.