Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
fr:calaos_on_line [2016/03/06 17:53]
arnaudtlse [MISE EN LIGNE DE CALAOS]
fr:calaos_on_line [2016/03/08 14:51] (current)
david.b [PRINCIPE]
Line 4: Line 4:
 Ici schéma 1 et 2 NIC Ici schéma 1 et 2 NIC
 ==== PRINCIPE ==== ==== PRINCIPE ====
 +D'une manière générale, le serveur Calaos utilise deux flux réseau, qui transitent soit via une même interface réseau, soit via deux interfaces distinctes. Ce dernier cas est conseillé pour les raisons développées plus bas.
  
-D'une manière générale le serveur Calaos utilise ​deux flux réseau, qui peuvent être soit via la même interface réseau, soit via deux interfaces distinctes. Ce dernier cas est conseillé. ​ +Ces deux flux se résument comme suit :  
- +  - Échanges ​des données ​entre le serveur Calaos et l'​utilisateur ​pour la réception des ordresvia les applications SmartPhones,​ Web, etc. 
-Flux 1: échange ​des données ​avec l'​utilisateurréception des ordres via les applications SmartPhones,​ Web, etc.  +  - Échanges ​des données entre le serveur Calaos et l'​automate Wago. Ce flux n'pas besoin d'​être vus par l'​utilisateur et peut donc être sur un réseau ​(ou sous-réseau) ​Ethernet différent. ​D'​ailleurs il est préférable que ce flux ne soit pas sur le même réseau que l'​ensemble des utilisateurs de la maison, car le réseau domestique est plus vulnérable en termes ​de sécurité. Il n'est pas rare de nos jours, ​voire fréquent, qu'un ordinateur du réseau domestique soit compromis. Placer l'​automate Wago sur un 2éme réseau logique ​ou idéalement ​sur un autre réseau ​physique, limite donc les risques d'​intrusions.
- +
-Flux 2: échange ​des données entre le serveur Calaos et l'​automate Wago. Ces flux n'ont pas besoin d'​être vus par l'​utilisateur et peuvent ​donc être sur un réseau Ethernet différent. ​ +
- +
-Il est préférable que ce flux n°2 ne soit pas sur le même réseau ​Ethernet ​que l'​ensemble des utilisateurs de la maison. Le réseau domestique est le plus vulnérable en terme de sécurité. Il n'est pas rare de nos jours, ​voir fréquent, qu'un ordinateur du réseau domestique soit compromis. Placer l'​automate Wago sur un 2éme réseau logique, voir idéalement physique, limite donc la propagation+
  
 __Conseils:​__ __Conseils:​__
-  * Placer ​le réseau ​Calaos - Wago sur une plage IP différente du réseau ​domestique, historiquement sur 10.0.0.x/​24. +  * S'​assurer que le réseau ​domestique (flux n°1), habituellement sur 192.168.0.0/​16,​ soit sur une plage IP différente du réseau ​"​Calaos<​->​Wago"​ (flux n°2), historiquement sur 10.0.0.x/​24. 
-  * Ne pas placer ​ce réseau sur le même switch Ethernet que le reste de la maison. Préférer un switch distinct, ou un câble direct.+  * Ne pas placer ​le réseau ​"​Calaos<​->​Wago"​ (flux n°2) sur le même switch Ethernet que le reste de la maison. Préférer un switch distinct, ou un câble direct. En effet, placer l'​ensemble sur le même switch expose l'​automate aux risques d'​être découvert par un pirate et en cas de panne/​saturation du réseau, la communication entre le serveur et l'​automate en serait également perturbée: passage de l'​automate en mode dégradé par exemple.
  
-Placer l'ensemble sur le même switch permettrait ​une découverte du réseau ​plus facile par un pirate, et en cas de panne/​saturation du switch le réseau Calaos-Wago en serait également perturbé: passage de l'​automate en mode dégradé par exemple.+**Puis-je installer Calaos sur un serveur qui n'a qu'​une ​carte réseau ​?**
  
-__Mon serveur ​Calaos ​n'qu'une interface ​réseau ?!__+Historiquement,​ les serveurs ​Calaos ​disposaient de 2 interfaces réseaux. Même s'il est toujours conseillé d'​orienter son choix vers ce type de serveur, depuis la version 2, il est possible d'​utiliser un serveur ne comportant ​qu'un seul port Ethernet. A noter qu'il est très simple d'​ajouter ​une interface ​Ethernet sur port USB pour suivre les recommandations ci-dessus. Cela se présente sous la forme d'un câble et se trouve à moins de 20€ sur Internet. Vérifiez quand même sur le forum ou IRC que le driver de cette interface fait partie des standards inclus dans Calaos_OS. ​
  
-Historiquement les serveurs Calaos disposent de 2 interfaces réseaux. Depuis la version 2, chaque utilisateur acquière un serveur de son choix. Il est donc conseillé d'​acheter un serveur avec 2 interfaces réseaux. A défaut, il est très simple d'​ajouter une interface Ethernet sur port USB. Ceci se présente sous la forme d'un câble et se trouve à moins de 20€ sur Internet. Vérifiez quand même sur le forum ou IRC que le driver de cette interface fait partie des standards inclus dans Calaos_OS.  +__En résumé:​__ ​\\ Le serveur Calaos idéal comporte deux interfaces réseau, dont une pour le réseau local domestique ​et l'​autre ​en câble direct sur l'​automate Wago.
- +
-__En résumé:__ +
-  * 2 interfaces réseau ​sur le serveur Calaos +
-  * 1 interface vers le réseau local domestique +
-  * 1 interface ​en câble direct sur l'​automate Wago+
  
  
 === Configuration de la Box Internet === === Configuration de la Box Internet ===
  
-Maintenant que le serveur est installé ​intramurosil est probable qu'accéder à son installation depuis l'​extérieur ​soit bien pratique.  +Maintenant que le serveur est installé ​dans votre habitationvous souhaitez probablement ​accéder à votre installation depuis l'​extérieur.  
-Dans l'​ordre ​de sécurité ​nous pouvons faire+Il y a 3 configurations possibles, qui dépendent du niveau ​de sécurité ​que l'on souhaite ​
-  * Cas 1: Ne pas ouvrir Calaos sur l'extérieur... +  ​* **Cas 1:** __Ne pas ouvrir Calaos sur l'extérieur__ \\ C'est bien sécurisé mais pas très pratique ;o) 
-  * Cas 2: Mettre ​en place un service VPN pour accéder au réseau domestique, Calaos y compris +  ​* **Cas 2:** __Mettre ​en place un service VPN pour accéder au réseau domestique, Calaos y compris__ \\ Le principe est de ne rendre visible depuis Internet que ce service, dont le rôle est orienté sécurité. Votre SmartPhone ou ordinateur se connecte dessus, et crée ainsi un canal sécurisé entre le périphérique et votre réseau domestique. Vous pouvez ainsi accéder à l'​ensemble des services de votre maison: Calaos mais aussi un NAS, la Freebox, etc.  
-  * Cas 3: Placer ​uniquement le serveur Calaos visible depuis l'extérieur +  ​* **Cas 3:** __Placer ​uniquement le serveur Calaos visible depuis l'extérieur__ \\ Cette configuration est fortement déconseillée,​ car elle suppose que la connexion n'est pas sécurisée. Une simple redirection NAT sur le routeur permet effectivement de rendre votre automate accessible depuis Internet... par tout le monde ! Toutefois cette possibilité reste envisageable,​ pour un accès en [[centrale_ssh|mode console]] uniquement.
- +
-__Cas 1__ +
-C'​est ​bien sécurisé mais pas très pratique ;o)+
  
-__Cas 2__ 
-Le principe est de ne rendre visible depuis Internet que ce service, dont son rôle est orienté sécurité. Votre SmartPhone ou ordinateur se connecte dessus, et crée ainsi un canal sécurisé entre le périphérique et votre réseau domestique. Vous pouvez ainsi accéder à l'​ensemble des services de votre maison: Calaos mais aussi un NAS, la Freebox, etc.  
  
-Un VPN (Virtual Private Network) est un service qui s'​installe,​ de nos jours, assez facilement et vous avez l'embarra ​du choix. D'un serveur Linux installé soit même pour les amateurs, au service installé en un click sur un NAS Synology par exemple. Google regorge de tutoriel ​pour installer correctement un VPN. +Un VPN (Virtual Private Network) est un service qui s'​installe,​ de nos jours, assez facilement et vous n'​aurez que l'embarras ​du choix. D'un serveur Linux installé soit même pour les amateurs, au service installé en un clic sur un NAS Synology par exemple. Google regorge de tutoriels ​pour installer correctement un VPN. 
-Attention aux compatibilité ​entre vos smartphone ​et le mode de chiffrement de votre VPN.+Attention aux compatibilités ​entre vos smartphones ​et le mode de chiffrement de votre VPN.
  
-  
  
  
-  systemctl enable usb-serial-touchscreen@ttyS0 
  
 === Comment joindre son Calaos depuis l'​extérieur === === Comment joindre son Calaos depuis l'​extérieur ===
 == Depuis Calaos v2 == == Depuis Calaos v2 ==
  
-== Particularité ​de Calaos v1.2 ==+== Particularités ​de Calaos v1.2 ==
  
  
 === A ne surtout pas faire... === === A ne surtout pas faire... ===