J’ai un proxy squid installé sur une passerelle et qui filtre l’accès internet.
Je n’ai plus d’accès internet avec mon portable android s5830.
J’ajoute que sans rien toucher j’avais une connexion internet il y a un mois !!

Dans les logs j’ai çà à chaque connexion à internet

wlan0: WPA rekeying GTK Aug 25 12:29:35 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 WPA: sending 1/2 msg of Group Key Handshake Aug 25 12:29:35 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 WPA: EAPOL-Key timeout Aug 25 12:29:35 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 WPA: sending 1/2 msg of Group Key Handshake Aug 25 12:29:35 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 WPA: received EAPOL-Key frame (2/2 Group) Aug 25 12:29:35 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 WPA: group key handshake completed (RSN) Aug 25 12:29:35 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 WPA: received EAPOL-Key 2/2 Group with unexpected replay counter

Si on pouvait m’éclairer ou me donner un coup de main, ce serait cool

Bonjour, normalement, si on ne change rien, le comportement ne change pas, sauf par exemple en cas de partition pleine, ou de fuite mémoire, ou de disque qui lâche.
Si tu as écarté ses 3 possibilités, il y a bien quelque chose qui a changé. Aucune mise à jour, même automatique ?

J’ai fait un test : déconnexion de l’essid de la passerelle et réactivation de la wifi de la livebox. Connection à la livebox : tout fonctionne.
Le problème vient donc de ma passerelle.
Mais je ne sais pas ce qui coince !!

Faut-il regarder du côté de squid3, hostapd,…ou autre chose ?

De mon android, je peux accéder au net via un navigateur en configurant le reseau pour qu’il aille chercher le proxy de ma passerelle.
Par contre l’accès à l’application gmail est refusé depuis peu …??!

D’aprés les logs que tu mets, c’est hostapd qui refuse les clefs de chiffrement de la connexion wifi.

C’est ce que j’ai pensé au début. Mais j’ai une connexion au net via le navigateur. Seules quelques application du smartphone ne se connectent pas ! Exemple avec gmail.

Il y a 2 étapes pour ta connexion:

• l’appairage avec le réseau (ce qui semble fonctionner puisque tu te connectes avec un navigateur)
• la connexion entre le client (ex gmail) et le serveur (les serveurs google)

Pour cette 2eme étape, il faut que le(s) port(s) soient ouverts sur ta passerelle.
as tu mis en place un filtrage ?

C’est squid qui gère çà. De mémoire, de nombreux ports sont ouverts par défauts. J’en ai spécifiés quelques uns il me semble.
Je ne savais pas qu’il fallait ouvrir des ports pour gmail et autres…!
Et puis tout fonctionnait iul y a encore quelques temps !?! Je crois qu’il faut creuser du côté de hostapd.
J’ai aussi eu quelques coupures sauvages durant l’été (orages, travaux,…) C’est peut-être à prendre en compte ?!

bonjour,
j’ai vu que tu detenais une Livebox,
tu as pensé à appuyer sur le bouton d’association de celle-ci,
on oublit souvent,
pour les autres FAI, je ne sais pas si ce bouton existe!
A+
JB1

Après recherches, j’ai trouvé un truc bizarre avec hostapd :

hostapd -dd /etc/hostapd/hostapd.conf random: Trying to read entropy from /dev/random Configuration file: /etc/hostapd/hostapd.conf ctrl_interface_group=0 nl80211: interface wlan0 in phy phy0 rfkill: initial event: idx=0 type=1 op=0 soft=0 hard=0 nl80211: Using driver-based off-channel TX nl80211: Register frame command failed (type=208): ret=-114 (Operation already in progress) nl80211: Register frame match - hexdump(len=2): 04 0a nl80211: Failed to register Action frame processing - ignore for now nl80211: Interface wlan0 is in bridge br0 nl80211: Add own interface ifindex 5 nl80211: Add own interface ifindex 4 nl80211: Set mode ifindex 4 iftype 3 (AP) nl80211: Create interface iftype 6 (MONITOR) nl80211: New interface mon.wlan0 created: ifindex=8 nl80211: Add own interface ifindex 8 BSS count 1, BSSID mask 00:00:00:00:00:00 (0 bits) nl80211: Regulatory information - country=00 nl80211: 2402-2472 @ 40 MHz nl80211: 2457-2482 @ 40 MHz nl80211: 2474-2494 @ 20 MHz nl80211: 5170-5250 @ 80 MHz nl80211: 5735-5835 @ 80 MHz nl80211: 57240-63720 @ 2160 MHz nl80211: Added 802.11b mode based on 802.11g information Allowed channel: mode=1 chan=1 freq=2412 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=2 freq=2417 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=3 freq=2422 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=4 freq=2427 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=5 freq=2432 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=6 freq=2437 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=7 freq=2442 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=8 freq=2447 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=9 freq=2452 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=10 freq=2457 MHz max_tx_power=20 dBm Allowed channel: mode=1 chan=11 freq=2462 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=1 freq=2412 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=2 freq=2417 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=3 freq=2422 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=4 freq=2427 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=5 freq=2432 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=6 freq=2437 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=7 freq=2442 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=8 freq=2447 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=9 freq=2452 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=10 freq=2457 MHz max_tx_power=20 dBm Allowed channel: mode=0 chan=11 freq=2462 MHz max_tx_power=20 dBm Completing interface initialization Mode: IEEE 802.11g Channel: 11 Frequency: 2462 MHz nl80211: Set freq 2462 (ht_enabled=0 sec_channel_offset=0) Failed to update rate sets in kernel module RATE[0] rate=10 flags=0x1 RATE[1] rate=20 flags=0x1 RATE[2] rate=55 flags=0x1 RATE[3] rate=110 flags=0x1 RATE[4] rate=60 flags=0x0 RATE[5] rate=90 flags=0x0 RATE[6] rate=120 flags=0x0 RATE[7] rate=180 flags=0x0 RATE[8] rate=240 flags=0x0 RATE[9] rate=360 flags=0x0 RATE[10] rate=480 flags=0x0 RATE[11] rate=540 flags=0x0 Flushing old station entries Deauthenticate all stations wpa_driver_nl80211_set_key: ifindex=4 alg=0 addr=(nil) key_idx=0 set_tx=0 seq_len=0 key_len=0 wpa_driver_nl80211_set_key: ifindex=4 alg=0 addr=(nil) key_idx=1 set_tx=0 seq_len=0 key_len=0 wpa_driver_nl80211_set_key: ifindex=4 alg=0 addr=(nil) key_idx=2 set_tx=0 seq_len=0 key_len=0 wpa_driver_nl80211_set_key: ifindex=4 alg=0 addr=(nil) key_idx=3 set_tx=0 seq_len=0 key_len=0 Using interface wlan0 with hwaddr 1c:bd:b9:8d:82:8c and ssid 'toto69' Deriving WPA PSK based on passphrase SSID - hexdump_ascii(len=6): 74 6f 74 6f 36 39 toto69 PSK (ASCII passphrase) - hexdump_ascii(len=10): [REMOVED] PSK (from passphrase) - hexdump(len=32): [REMOVED] random: Got 20/20 bytes from /dev/random Get randomness: len=32 entropy=0 GMK - hexdump(len=32): [REMOVED] Get randomness: len=32 entropy=0 Key Counter - hexdump(len=32): [REMOVED] WPA: Delay group state machine start until Beacon frames have been configured Using existing control interface directory. ctrl_iface bind(PF_UNIX) failed: Address already in use ctrl_iface exists and seems to be in use - cannot override it Delete '/var/run/hostapd/wlan0' manually if it is not used anymore Failed to setup control interface wlan0: Unable to setup interface. Flushing old station entries Deauthenticate all stations nl80211: Remove interface ifindex=8 netlink: Operstate: linkmode=0, operstate=6 nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Try mode change after setting interface down nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Set mode ifindex 4 iftype 2 (STATION) nl80211: Failed to set interface 4 to mode 2: -16 (Device or resource busy) nl80211: Interface mode change to 2 from 3 failed

Ces messages sont-ils logiques ?

Tant que j’y suis voici mon hostapd.conf

[code]cat hostapd.conf
#La carte Wifi, forcément indispensable
interface=wlan0

#Si la carte est bridgée, il faut préciser le nom du bridge
bridge=br0

Le driver nécessité par la carte

driver=nl80211

#Options de log par défaut, elles sont très bien
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom du réseau
ssid=toto69

mode Wi-Fi (a = IEEE 802.11a, b = IEEE 802.11b, g = IEEE 802.11g)

hw_mode=g

canal de fréquence Wi-Fi (1-14)

channel=11

#Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)

C’est une sécurité qui peut facilement être contournée, mais est

néanmoins pratique, car elle est facile à mettre en place

En effet, hostAPd va vérifier l’adresse MAC de la carte Wifi qui fait une

demande d’accès et pourra alors, sur cette seule adresse, soit continuer le

processus d’identification, soit s’arrêter et refuser la carte.

Les paramètres possibles sont les suivants :

0 : Tout accepter à moins qu’elle ne soit dans la liste noire

1 : Tout refuser, à moins qu’elle ne soit dans la liste blanche

2 : Vérifier l’adresse auprès d’un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)

Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.

macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

auth_algs=1

#Celui là, je sais pas trop… Je crois qu’on peut l’enlever, mais bon je suis pas sûr, j’ai pas testé
eap_server=0

#Dis qu’on veut faire du WPA-PSK
wpa=2

Votre clé, le coeur de la sécurité du WPA-PSK

wpa_passphrase=xxxxxxxxxx

Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).

#wpa_psk_file=/etc/hostapd/wpa_psk

On définit ce qu’on veut comme WPA

wpa_key_mgmt=WPA-PSK

Et l’algo de cryptage

wpa_pairwise=TKIP CCMP
rsn_pairwise=CCMP

country_code=FR

wpa_group_rekey=600

wpa_gmk_rekey=86400[/code]

Bonjour,

J’ai changé ma configuration dans hostapd pour passer sur un clé wep :
Voici le fichier

[code]##### hostapd configuration file ##############################################

Empty lines and lines starting with # are ignored

nom de l’interface réseau à configurer

interface=wlan0

pont

bridge=br0

Pilote à utiliser

driver=nl80211

Journaux des évènements (valeurs par défaut)

logger_syslog=-1
logger_syslog_level=2
logger_stdout=-1
logger_stdout_level=2

Fichier d’informations d’état (valeur par défaut)

dump_file=/tmp/hostapd.dump

Utile dans le cas de plusieurs interfaces (défaut)

#ctrl_interface=/var/run/hostapd

Lancer le démonen tant que root (défaut)

#ctrl_interface_group=wheel
#ctrl_interface_group=0

IEEE 802.11 related configuration

Nom du réseau (SSID)

ssid=toto69

Mode Wi-Fi (b/g/n g=54Mb/s)

hw_mode=g

Numéro de canal (entre 1 et 13)

channel=11

Beacon interval in kus (1.024 ms) (default: 100; range 15…65535)

beacon_int=100

DTIM (delivery trafic information message) period (range 1…255):

number of beacons between DTIMs (1 = every beacon includes DTIM element)

(default: 2)

dtim_period=2

Maximum number of stations allowed in station table. New stations will be

rejected after the station table is full. IEEE 802.11 has a limit of 2007

different association IDs, so this number should not be larger than that.

(default: 2007)

max_num_sta=255

RTS/CTS threshold; 2347 = disabled (default); range 0…2347

rts_threshold=2347

Fragmentation threshold; 2346 = disabled (default); range 256…2346

fragm_threshold=2346

Désactivation du filtrage MAC

macaddr_acl=0

Choix de la sécurité d’authentification

1 = Shared Key Authentication (WEP ou aucun chiffrement)

3 = WPA (à configurer)

auth_algs=1

Cacher le SSID: non

ignore_broadcast_ssid=0

Envoyer les paramètres du réseau aux clients

wmm_enabled=1

Configuration WPA

WPA/IEEE 802.11i configuration

Choix entre WPA et WPA2

Commenter la ligne pour désactiver l’utilisation de WPA/WPA2

0 = WPA

1 = WPA2

#wpa=1

Mot de passe de 8 à 63 caractères

#wpa_passphrase=mon mot de passe

Algorythme de chiffrement de la clé

#rsn_pairwise=CCMP

Configuration WEP

Activation WEP: décommenter la ligne pour utiliser un mot de passe WEP

wep_default_key=0

Le mot de passe WEP doit impérativement faire 5, 13 ou 16 caractères de long

ou être une chaine hexadécimale de 10, 26 ou 32 caractères (sans guillemets)

wep_key0=“xxxxx”[/code]

Voici les logs à la connexion du smartphone android :

cat /var/log/syslog Sep 24 06:25:20 serveur-debian dansguardian[10184]: Started sucessfully. Sep 24 06:25:50 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 IEEE 802.11: disassociated Sep 24 06:25:53 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 IEEE 802.11: authenticated Sep 24 06:25:53 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 IEEE 802.11: associated (aid 1) Sep 24 06:25:53 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 RADIUS: starting accounting session 5421B358-00000003 Sep 24 06:25:54 serveur-debian dhcpd: DHCPREQUEST for 172.16.10.2 from c4:88:e5:aa:13:a2 via br0 Sep 24 06:25:54 serveur-debian dhcpd: DHCPACK on 172.16.10.2 to c4:88:e5:aa:13:a2 via br0 Sep 24 06:26:05 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 IEEE 802.11: disassociated Sep 24 06:26:06 serveur-debian hostapd: wlan0: STA c4:88:e5:aa:13:a2 IEEE 802.11: deauthenticated due to inactivity Sep 24 06:27:15 serveur-debian /USR/SBIN/CRON[10089]: (CRON) info (No MTA installed, discarding output)

Toujours pas de synchro avec le nuage de gmail par exemple.

Tu as une authentification via un serveur RADIUS ?
En cherchant un peu, je suis tombé sur un cas trés semblable au tiens, avec des pistes de solutions: linuxquestions.org/questions … on-931395/

Justement non ! Je n’ai rien paramétré de la sorte ou bien je n’ai pas fait attention !
C’est quoi un serveur radius ?

Un apt-get update depuis le netbook me renvoie :

[code]Erreur temporaire de résolution de « ppa.launchpad.net »
Lecture des listes de paquets… Fait
W: Impossible de récupérer http://fr.archive.ubuntu.com/ubuntu/dists/precise/Release.gpg Erreur temporaire de résolution de « fr.archive.ubuntu.com »

W: Impossible de récupérer http://fr.archive.ubuntu.com/ubuntu/dists/precise-updates/Release.gpg Erreur temporaire de résolution de « fr.archive.ubuntu.com »
[/code]
Tout est comme çà , je n’en ai copié qu’une partie.

Squid ne serait-il pas en cause finalement ?

Je l’ai déjà parcouru ce post.
Mon serveur dhcp n’est pas dnmasq mais isc-dhcp-server.
Je regarde si je dois le configurer d’une certaine manière. Mais c’est peu probable. A l’installation de la passerelle, tout fonctionnait sans intervention de ma part dans le fichier de conf de isc. Donc quelque chose (je ne sais pas quoi - mise à jour d’un paquet sans que j’y fasse attention par exemple - changement de protocole,…
Je ne sais pas si on peut voir les dernières mises à jour de upgrade. Quelqu’un connaît la commande ? Au moins je verrais déjà quels paquets ont été mis à jour et si certains concernent le filtrage.

RADIUS est un dispositif qui permet d’authentifier des utilisateurs de façon centralisée: fr.wikipedia.org/wiki/Remote_Aut … er_Service

Si tu as mélangé des dépôts ubuntu sur une machine debian, ne soit pas surpris d’avoir des fonctionnements imprévisibles.

Je n’ai rien mélangé du tout.
Mon serveur est sous debian et le netbook sous lubuntu.

Ton post n’était pas clair!
Quand je lis [quote]Un apt-get update depuis le netbook me renvoie[/quote], je comprends que tu es derrière l’écran de ton notebook, connecté en ssh sur ton serveur, et que tu fais des mises à jour de celui ci …

Bonjour,

toto69, tu saurais nous donner un peu plus d’informations concernant ta config réseau ?

Notamment, sur la machine “serveur-debian”, nous fournir le résultat de [mono]ip link show[/mono] et de [mono]brctl show[/mono] , s’il te plaît.

Parce-que je ne comprends pas bien pourquoi tu as mis l’interface réseau du point d’accès WiFi dans un bridge. Tu dis que tu fais fonctionner isc-dhcp-server, mais tu fais fonctionner un service DHCP sur debian-serveur et un autre service DHCP sur la livebox ? Sur le même domaine de collision/segment Ethernet ?

–
AnonymousCoward

[quote=“AnonymousCoward”]
toto69, tu saurais nous donner un peu plus d’informations concernant ta config réseau ?[/quote]
configuration-passerelle-t46630.html

Tu comprendras mieux et çà m’évitera de tout reprendre.

Mais faut pas non plus se prendre trop la tête: à part les mises à jour qui ne passent pas en wifi(sûrement squid qui me la refuse vu que proxy squid redirigé vers dansguardian) et le calendrier de gmail qui ne synchronise pas avec le android ,tout va bien.
Je branche en ethernet sur la box et les mises à jours passent

Imagine 30s que pour le smartphone ce soit android qui coince…dans un an madame aura sûrement changé de portable et hop…çà passera peut-être.

La mise en place de ce serveur répond à 100% à ce que je voulais. Donc c’est cool.

Merci du coup de main par contre.

Bonjour,

Je comprends un peu mieux même si ce n’est pas parfait.

Il me faut encore avoir le résultat complet des deux commandes suivantes sur “serveur-debian”, en tant que root :

• [mono]iptables --line-numbers -nvx -t nat -L[/mono]
• [mono]iptables --line-numbers -nvx -t filter -L[/mono]

En option, je te suggère de vérifier si un site web en HTTPS fonctionne. Du genre https://www.google.fr/ . Il faut évidement que le petit cadenas soit affiché à gauche de l’adresse, dans le navigateur.
Pourquoi ce test ? Quand tu indique un proxy sur Android, c’est pris en compte comme un proxy pour HTTP et HTTPS et tous les proxys n’autorisent pas cela. De plus, faire du proxy transparent en HTTPS ne marche pas, sauf à faire une bidouille sur chaque poste client. Troisième raison, cela pourrait indiquer un dysfonctionnement de la résolution DNS.

–
AnonymousCoward

PS - Le certificat X509 / SSL pour debian-fr.org/ est périmé.