J'ai depuis longtemps un point d'accès ouvert mais maintenant contrôlé pour donner accès publiquement à internet.

Cherchez le point d'accès acces.reseaulibre.ca.

C'est du wifi régulier, sur la fréquence 2.4 GHz, canal 1.

Ports ouverts: 22 (SSH), 53 (DNS), 80 (HTTP), 443 (HTTPS), 8080 (icecast), 123 (NTP), 587 (Mail submission agent), 993 (IMAPS), 5222, 8010, 7777, 5000 (XMPP), 1194 (OpenVPN), 11371 (HKP), ICMP (ping)

Update: le point d'accès public est fermé.

Multicasting

Je roule un multicast d'une radio interne (voir radio). Ceci a tendance à polluer le wifi catastrophiquement: contrairement à un réseau fillaire, où le multicast peut être diffusé de façon efficace (chaque paquet envoyé une seule fois pour tout le monde), un réseau sans fil a des problèmes avec le multicast (chaque paquet doit être envoyé séparément pour chaque client). Des explications des problèmes avec le multicast et le wifi sont bien décrits ici:

En bref, ceci est particulièrement un problème avec l'encryption parce que chaque client doit recevoir un paquet séparément encrypté même si le contenu est le même. Mais ceci est un problème même sans encryption car le AP doit envoyer les paquets à la vitesse la plus basse supportée par tous les clients, ce qui peut ralentir considérablement le transfert et donc prendre paradoxalement plus de temps d'antenne.

Il semblerait y avoir des solutions théoriques avec un truc appelé DTIM, mais je ne vois pas clairement comment ceci peut régler les problèmes de fond mentionnés plus haut. Pour moi, la question du multicast performant sur wifi est non-résolue. Je me suis pour l'instant concentré à désactiver la diffusion multicast sur le wifi.

Pour résoudre ce problème, j'ai configuré mes routeurs OpenWRT pour ne pas diffuser le traffic IGMP à moins que ceci soit demandé par les clients, en utilisant une fonctionalité nommée igmp_snooping (dans OpenWRT) ou multicast_snooping (dans le kernel). Ceci peut être activé avec:

echo "1" > /sys/devices/virtual/net/br-lan/bridge/multicast_snooping

ou en ajoutant option igmp_snooping 1 à la config du bridge dans /etc/config/network. (Source)

Malheureusement, je vois toujours du traffic multicast sur les interfaces bridges et pire, wifi, avec cette configuration. Le problème est peut-être dû au fait qu'il n'y a pas seulement l'audio qui passe par le multicast: le protocole "Bonjour" ou "Avahi" utilise également le multicast pour annoncer des services. Les machines Apple, en particulier, vont envoyer des annonces qui vont activer le multicast sur le wifi et ainsi recevoir du traffic...

J'ai fini par ignorer les questions de igmpproxy parce que ceci me semble plus conçu pour contourner des problèmes de NAT et forcer la diffusion des flux multicast. Je veux faire l'inverse. Voir la documentation de igmpproxy pour des infos à ce sujet.

À noter aussi que IPv6 utilise un autre protocole pour découvrir les hosts voulant du multicast, nommé MLD.

Bref: pas réussi à désactiver le multicast sur le wifi - il faudrait changer de pare-feu pour faire ça à ce niveau, et splitter les VLANs. Yerk. Voir aussi cette discussion.

The Freifunk community have done a bunch of patches to Enable bridge multicast snooping - that we may want to review.

Documentation about multicast settings on the bridge

Created . Edited .