Raspberry pi en box 3G/4G

Objectif : transformer un Raspberry pi en router Internet (box 3G,4G) avec un smartphone via wifi pour permettre l'accès Internet aux postes du réseau local via ethernet.

2020-10-19

Matériel necessaire :

un Raspberry avec ethernet et wifi.
une carte micro SD classe 10
un switch ethernet
un smarphone

I: Paramétrer le smartphone :

activer les données mobiles
partage de données internet ( avec éventuellement une limite )
partager via wifi
configurer le point d'accès wifi:
- ssid : le nom de la "box"
- mot de passe ( minimum 16 caractères alphanumériques )
- type de cryptage ( wpa, wpa2 )
- bande de fréquence (2.4 GHz ou 5.0 GHz IEEE 802.11ac )
- canal (wikipedia)
maximum de connexion autorisé

II: installer le système d'exploitation (OS) sur le raspberry :

La procédure de création de la carte SD est expliquée ici : www.raspberrypi.org
à noter que l'on peut :

finaliser l'installation sans écran , ni clavier à partir d'un autre poste du même réseau en ajoutant un fichier vide nommé ssh dans la partition boot de la SD
que ce réseau peut passer par le wifi ( celui d'une box internet ) en ajoutant dans le partition boot de la SD le fichier wpa_supplicant.conf ainsi renseigné:


ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=FR
	
network={
  ssid="nom de la box"
  psk="mot de passe"
}

avec écran, clavier, souris brancher sur le Raspberry il sera aussi possible d'accèder à l'internet via le smarphone en ajoutant dans le partition boot de la SD le fichier wpa_supplicant.conf avec le ssid déclaré dans le smarphone.

A noter que les deux réseaux peuvent "cohabiter" dans le même fichier wpa_supplicant.conf et qu'avec la configuration suivante si le système ne trouve pas la box il recherchera le smartphone:


ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=FR
	
network={
 ssid="nom de la box"
 psk="mot de passe"
}
network={
 ssid="nom du smartphone"
 psk="mot de passe"
}

L'édition de la partition boot peut se faire sous windows par notepad.

Le fichier wpa_supplicant.conf se trouvera après l'installation dans /etc/wpa_supplicant/wpa_supplicant.conf

Au premier démarrage du Raspberry on paramétre le système ( password, region, MAJ des paquets, etc.) par la méthode graphique ou par sudo raspi-config, en cas d'accès par ssh. Après avoir redémarrer, on va (enfin) pouvoir paramètrer le raspberry en routeur 3G/4G...

III: Paramétrage du Raspberry en routeur 3G/4G:

forcer une adresse fixe a l’eth0 du Rpi en mettant a la fin de dhcpcd.conf son adresse:

sudo vi /etc/dhcpcd.conf

# adresse fixe eth0
interface eth0
static ip_address=192.168.2.1

activer le forwarding (pour permettre le passage entre eth0 et wlan0):

sudo vi /etc/sysctl.d/routed-ap.conf

# activer forwarding
net.ipv4.ip_forward=1

installer le programme qui fournira une adresse (dhcp) et un accès à la résolution de nom de domaine (DNS) aux clients du router:
sudo apt install dnsmasq
personnaliser le fichier de configuration de dnsmasq :

sudo cp /etc/dnsmasq.conf /etc/dnsmasq.conf.ori

sudo vi /etc/dnsmasq.conf

coller à la fin du fichier :

# dnsmasq pour phone
# l’interface ou sera branché le switch pour le réseau local
interface=eth0
# la plage d’adresses de ton réseau local, le broacast,la durée du lease
dhcp-range=192.168.2.2,192.168.2.20,255.255.255.0,24h
# l adresse ip de eth0 sur le Rpi la passerelle pour l’accès  à l’internet
dhcp-option=3,192.168.2.1
# le nom du domaine local
domain=maison
# le nom du Rpi (gw dans le domaine maison ) en fait la nouvelle box …
address=/gw.maison/192.168.2.1

installer le parefeu (firewall)

sudo apt install ufw

modifier la règle du forwarding de DROP a ACCEPT:

sudo vi /etc/default/ufw

DEFAULT_FORWARD_POLICY="ACCEPT"

redire a ufw de mettre le forward ds le noyau ( sans doute pas utile on l’a déja fait mais bon ! )

sudo vi /etc/ufw/sysctl.conf

net/ipv4/ip_forward=1

ajouter a la fin du fichier /etc/ufw/before.rules après le dernier COMMIT déja présent à la fin de ce fichier, la règle pour le NAT :

sudo vi /etc/ufw/before.rules

# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Forward traffic through wlan0
-A POSTROUTING -s 192.168.2.0/24 -o wlan0 -j MASQUERADE

# End each table with the 'COMMIT' line or these rules won't be processed
COMMIT

Cette règle va permettre au réseau local (192.168.2.0/24) d’accèder a l’interface wlan0 donc a internet.

activer le firewall et le rendre exécutable pour les futurs démarrages:
sudo ufw enable
rendre le dhcp et le dns accessible par le réseau local :

sudo ufw allow in on eth0 to any port 67 proto udp

sudo ufw allow in on eth0 to any port 53 proto tcp

sudo ufw allow in on eth0 to any port 53 proto udp

les bloquer pour l'accès exterieur :

sudo ufw deny in on wlan0 to any port 67 proto udp

sudo ufw deny in on wlan0 to any port 53 proto tcp

sudo ufw deny in on wlan0 to any port 53 proto udp

A ce stade le firewall doit afficher à peu près ceci :

sudo ufw status verbose

	Status: active
	Logging: on (low)
	Default: deny (incoming), allow (outgoing), allow (routed)
	New profiles: skip

	To                         Action      From
	--                         ------      ----
  
	67/udp on eth0             ALLOW IN    Anywhere                  
	53/tcp on eth0             ALLOW IN    Anywhere                  
	53/udp on eth0             ALLOW IN    Anywhere                  
	53/udp on wlan0            DENY IN     Anywhere                  
	67/udp on wlan0            DENY IN     Anywhere                  
	53/tcp on wlan0            DENY IN     Anywhere                  
	53/udp (v6) on wlan0       DENY IN     Anywhere (v6)             
	67/udp (v6) on wlan0       DENY IN     Anywhere (v6)             
	53/tcp (v6) on wlan0       DENY IN     Anywhere (v6)

A noter que les règle IPV6 ont été supprimer pour le réseau local.

afficher les règles avec leur numérotation :

sudo ufw status numbered

supprimer les règles inutiles :

sudo ufw delete n

IV: Pour aller plus loin ...

dnsmasq propose des paramètres dans /etc/dnsmasq.conf pour logguer les actions du dhcp et du dns dans /var/log/syslog

log-queries pour le dns
log-dhcp pour le dhcp

pour utiliser d'autres dns que ceux du FAI ( ceux de google par exemple ) :

server=8.8.8.8
server=8.8.4.4

augmenter le cache DNS
cache-size=500

La documentation sur une foultitude d'autres options est ds le fichier d'origine /etc/dnsmasq.conf

Sources: