Configuration d’un access point WatchGuard pour le projet de signature électronique
Les WachGuard sont des supports permettant d’obtenir un point d’accès wifi.
La BCI a pour projet la mise en œuvre d’une solution à base de tablette interconnectée en WIFI afin de proposer aux clients en agence un dispositif pour signer des contrats en remplacement du papier et permettre leurs archivages dans le GED de manière automatisée.
Pour cela, la BCI a opté pour la solution WatchGuard : WatchGuard Technologies | Network Security, Secure Wi-Fi, MFA, and Endpoint Security Solutions
Objectif : L’installation des Accès Point a pour plusieurs objectifs :
- Mise en place d’un SSID pour connecter les tablettes des gestionnaires (SAG)
- Mise en place d’un SSID Wifi Interne pour que les collaborateurs BCI puissent accéder au réseau interne de l’entreprise via leurs PC portables (Wifi Interne)
- Mise en place d’un SSID Portal pour proposer un réseau invité au client BCI qui pourrons se connecter avec leurs périphériques. (Portal)
Pour répondre à ces objectifs il faudra :
- Récupérer l’IP de l’AP
- Configurer les règles FireWall
- Modifier les règles FireWall
- Crée un SSID
- Ajouter l’équipement à la console CLOUD WATCHGUARD
- Création les étendues DHCP pour l’AP, pour le réseau Wifi Interne, pour le réseau SAG (tablettes) et le Portal invité.
- Configurer le SWITCH Agence
- Configurer l’interface pour l’AP
- Installer les AP en agence
Ci-dessous, un schéma de l’infrastructure réseau représentatifs de ce que j’ai pu exploiter pour la configuration des Accès Point :
Récupérer l’IP de l’équipement :
Pour commencer, connecter l’AP watchguard sur un réseau pour lui donner accès a Internet.
Le serveur DHCP va lui attribuer une IP qu’il faudra noter pour la configurer, le serveur va afficher l’équipement selon l’endroit où la borne est branchée.
Pour vérifier que c’est bien le bon équipement, effectuez un ping vers l’adresse et noter l’IP pour la configuration de l’AP.
Il faut également contrôler la MAC address avec celle de l’accès point inscrite sur la boite de la WatchGuard:
Une fois que vous avez retrouvé votre AP il faut configurer les règles de FIREWALL
La BCI utilise deux FIREWALL comme on peut le voir dans le schéma d’architecture réseau ci-dessus (les deux firewalls FortiGate).
Un FireWall se situe au sein de l’agence Victoire et l’autre a l’agence de Ducos, l’un est prévu pour un relais de flux en cas de panne et c’est pour cela qu’il faudra faire les exactement les mêmes modifications et créations d’objets et de règles sur les deux FireWalls.
Dans ces deux FIREWALL il faudra créer une nouvelle entrée pour l’Accès Point ou seront renseigner son IP, son nom et sa description comme par exemple AP de l’agence Magenta.
Apres avoir créé l’AP dans les firewalls, il faut l’ajouter dans le groupe des AP WATCH qui regroupe toutes les AP déployées en agences.
Les mettre dans un groupe permet un meilleur visuel et une gestion simplifiée.
Ce groupe appartient à une règle qui va permettre au AP a accéder a Internet.
Maintenant que vous avez créé l’objet pour l’AP, il faut créé un objet pour le réseau SAG de l’agence qui correspond au réseau des tablettes qui vont être déployés en agence par exemple « Réseau SAG de l’agence de Magenta ».
Le nouveau réseau SAG doit être ajouté a la règle Acces NET SAG qui permet aux tablettes de l’agence d’accéder à Internet.
Toujours en suivant la même procédure, crée un nouvel Objet qui sera le Portal.
Ce PORTAL est un portail captif qui va permettre aux clients de la BCI d’accéder a internet via leurs périphériques.
Il faudra ajouter ce Portal au groupe BCI PLAGE Portal.
Modification des règles FIREWALL FORTIGATE
Sur le FortiGate il faudra créer une nouvelle adresse pour le Vlan PORTAL des agences.
Rajouter ensuite le nouvelle adresse aux règles de firewall se trouvant sur le FortiGate dans le menu des politiques.
WIFI_EXT_Watch_vers_NET qui autorise les équipements des VLAN équipement client du portail invité, tablettes et PC portables à sortir sur internet, on autorise beaucoup de protocoles mêmes les mails (POP, IMAP).
WIFI_Watch_vers_AD qui autorise les équipements du VLAN Portal à interagir avec les contrôleurs de domaine, il permet aux clients de se connecter au DHCP.
DENY_WIFI_WATCH de bloquer les tout autres connexions à l’exception des deux règles du dessus.
Création du profil Agence :
Nous allons créer un profil « agence » qui est une configuration que nous allons déployer automatiquement aux futurs équipements que nous allons mettre en place en agence.
Le SSID (Service Set IDentifier) est tout simplement le nom d’un réseau WiFi.
Se connecter à l’administration WATCHGUARD : https://jpn.cloud.watchguard.com/dashboard
Allez dans configurer, Acces Point Sites et choisir profil AGENCE :
Ci-dessous la configuration que nous avons mise en place qui correspondant aux 3 Vlan que nous allons créer plus bas:
Ci-dessous je vais décrire la création d’un de ces SSID (en exemple, le SSID du portal)
Création d’un SSID dans la configuration WATCHGUARD
Dans Profile AGENCE, cliquer sur SSID puis Ajouter un SSID et Renseigner les informations demandées selon vos besoins :
Dans l’onglet Contrôle d’accès, décocher la liste de contrôle :
Puis il faudra renseigner la disponibilité du WIFI dans « Mettre à jour le SSID »
Allez ensuite dans PORTAIL puis activer le portail captif et sélectionner le SSID concerné :
Lancer les paramètres avancés du portail captif et renseigner les informations demandées selon vos besoins:
Le jardin clôturé correspond a une liste de sites autorisés que nous devons renseigner pour que les différents équipements puissent accéder a ces diffèrent domaines.
Ajouter l’équipement à la console CLOUD WATCHGUARD
Une fois cette procédure faite, il faut se rendre sur le contrôleur cloud : https://jpn.cloud.watchguard.com/dashboard
Ensuite, il faut aller soit sur « Surveiller » ou « Configurer » et cliquer sur « Ajouter un périphérique » puis Cliquer ensuite « Point d’Accès ».
Il faut ensuite retrouver le point d’accès dans la liste en faisant une recherche par numéro de série renseigné sur la boite de l’AP.
Une fois que l’AP est trouvé il faut cliquer sur celle-ci puis faire « Ajouter un périphérique » et renseigner les champs demandés :
Ensuite cliquer sur « suivant » et commencer a configurer votre point d’accès :
Le VLAN de Gestion correspond au VLAN de gestion d’une agence.
Pour récupérer le numéro de VLAN de l’agence, il faut se connecter au SWITCH et identifier le VLAN_ADM_XXX :
Sélectionner dans « acces point site » le profil agence puis renseigner votre mot de passe administrateur.
Cliquer sur suivant et terminé.
Il faut ensuite aller dans le menu « configurer » et choisir l’AP que l’on vient d’ajouter puis de cliquer sur « connecter » :
Il faut patienter à peu près 10min, ensuite l’AP devrait avoir les LED bleu, cela signifie qu’il a pu se connecter sur le contrôleur WatchCloud.
Création des étendues DHCP
Il faut ensuite se connecter sur le serveur DHCP et créer 3 étendues, une pour le WIFI Interne, une pour le Portal et une autre pour le réseau des tablettes (SAG).
10.X.X.1 à 10.X.X.249 correspondra à l’étendue pour le VLAN X qui correspond au VLAN des équipements PC portables BCI (/24)
10.X.X.1 à 10.X.X.249 correspondra à l’étendue pour le VLAN X qui correspond au Vlan Tablettes (/24)
10.X.X.1 a 10.X.X.5 correspondra à l’étendue pour le VLAN X qui correspond au Vlan PORTAL (/29)
Voici un petit rappel sur les masques de sous-réseaux : Adresses IPv4 et le calcul des masques de sous-réseaux | IT-Connect
Configurer le SWITCH Agence
Ensuite aller sur le switch de l’agence et créer les 3 Vlans
Vlan XXX pour le réseau wifi SAG, vlan XXX pour le réseau wifi interne et vlan XXX pour le vlan portal puis configurer les interfaces des 3 VLANS.
L’AP peut maintenant être déployé en agence.
Procédure d’installation des bornes WATCHGUARD dans les agences BCI
A la réception de l’équipement WATCHGUARD :
Vous devez trouver la borne et un support de fixation.
Trouver la prise qui est installée dans les faux plafonds et brancher la borne Watch Guard à la prise.
Depuis la baie informatique localisée où est la prise réservée au WIFI sur le bandeau électrique.
La borne WATCHGUARD doit afficher une lumière bleue :
Ci-dessous les codes couleurs de la LED et leurs résolutions :
Il ne reste plus qu’à tester la connexion WIFI avec les tablettes BCI, il faudra tester la connexion dans chaque bureau ou un agent utilisera une tablette.
Une fois déverrouillé lancer l’application Wifi Monitor.
Au lancement de l’application vous devrez être connecté au réseau des tablettes.
L’onglet RSSI indique la portée du signal il doit être inférieur à -80 dBm, il faut placer la borne de manière à ce que le signal soit au maximum de -70dBm.
Apres avoir installé les points d’accès WIFI, la finalité de ce projet été de déployer des tablettes afin de proposer aux clients en agence un dispositif pour signer des contrats en remplacement du papier et permettre leurs archivages dans le GED de manière automatisée.