communication/intro/intro.tex

\documentclass[11pt]{ttnn}
\usepackage[utf8]{inputenc}
\usepackage[T1]{fontenc}
\usepackage{lmodern}
\usepackage[french]{babel}
\usepackage{hyperref}
\usepackage{graphicx}
\usepackage{eurosym}

\title{Construire son propre fournisseur d'accès internet}
\author{Tetaneutral.net}
\date{Avril 2014}

\begin{document}
\maketitle


\section*{Introduction}

Ce document présente la démarche administrative et technique qui
permet de créer un fournisseur d'accès associatif, par exemple pour
couvrir une zone blanche ADSL dans les endroits (une bonne proportion
du territoire) délaissés par les opérateurs traditionnels parce que
non rentable pour eux.

Il s'appuie sur l'expérience de l'association
Tetaneutral.net\footnote{\url{http://www.tetaneutral.net/}} qui
opère un tel réseau à Toulouse, Saint-Gaudens, Mones et Mauvaisin en
Haute-Garonne ainsi que sur des documents de la Fédération French Data
Network\footnote{\url{http://www.ffdn.org/}}, qui regroupe de nombreux
fournisseurs d'accès associatifs français.

Pour faire son propre fournisseur d'accès internet il faut cinq
ressources principales :
\begin{itemize}
\item des bénévoles pour mettre en place et faire vivre le truc,
\item un statut juridique (association 1901 + déclaration ARCEP),
\item des adresses IP,
\item un moyen pour ces adresses IP d'accéder à l'internet,
\item un moyen de connecter les adhérents à l'accès internet ci-dessus.
\end{itemize}

Les bénévoles, il y a plein de manières de les trouver et de les
motiver. Dans une zone blanche ou très mal desservie par les
fournisseurs classiques, il suffit de se faire connaître un peu pour
en trouver plein qui seront prêts à aider en échange de la possibilité
d'une meilleure connexion au réseau des réseaux.

Pour les associations membres de la FFDN, l'aspect bénévole et citoyen
de la démarche est très important. Le réseau internet est une ressource
considérée comme un bien commun de l'humanité, son appropriation par
de grandes multinationales qui tentent de le contrôler et de le
détourner à leur profit, sans compter la surveillance excercée par les
gouvernements sont simplement inacceptables~\cite{taziden2013}.

En plus de combler un manque (la couverture des zones blanches), la
création de fournisseurs d'accès associatifs est également un moyen de
défendre et de promouvoir un internet plus libre et plus égalitaire et
de s'approprier les technologies utilisées.

Pour les quatre autres types de ressources, plus techniques, nous
allons décrire sommairement les solutions dans la suite ce ce
document. Un certain nombre de documents plus détaillés sont
disponibles dans la bibliographie pour permettre d'approfondir les
sujets.

\section{Le statut de fournisseur d'accès}

Pour être fournisseur d'accès internet, un simple enregistrement
auprès de l'ARCEP suffit. Les démarchent indispensables se limitent
donc à
\begin{itemize}
\item créer une structure légale, une association loi 1901 a
  priori. (Mais on peut envisager d'autres statuts pour  des cas
  particuliers)
\item remplir la déclaration auprès de l'ARCEP.
\end{itemize}

Ensuite il peut être intéressant de faire d'autres démarches pour se
faciliter la vie : % XXX autres utilités ?
\begin{itemize}
\item ouvrir un compte bancaire au nom de
  l'association. Tetaneutral.net utilise les services du Crédit
  Coopératif destinés aux associations. Ils permettent de gérer toutes
  les cotisations et les abonnements aux services par prélèvement, ce
  qui simplifie le travail du trésorier. Il est également possible de
  disposer d'une carte bancaire pour régler des achats de matériel en
  ligne au nom de l'association.
\item obtenir de numéros INSEE et SIREN, pour simplifier les
  relations commerciales avec les fournisseurs professionnels. Pas
  utile pour les achats en ligne.
\end{itemize}

\subsection*{Devoirs du FAI}

La principale obligation légale d'un fournisseur d'accès internet est
d'être en mesure de fournir sur demande aux autorités de police ou de
justice l'identité d'un abonné au service, à une heure donnée à partir
de son adresse IP.

Le plus simple est d'être capable d'attribuer une adresse IP publique
fixe à chaque adhérent. On a ainsi une correspondance relativement
stable via le fichier des adhérents, sans être obligés de garder des
traces en temps réel d'un système d'allocation dynamique des
adresses IP ou de traduction d'adresses (plus connu sous le nom de
NAT).

Le fichier des adhérents doit faire l'objet d'une déclaration
simplifiée à la CNIL\footnote{Commision Nationale Informatique et
  Libertés, \url{http://www.cnil.fr/}}, comme pour toute association.

La loi « informatique et libertés » et le code des
télécommunications, imposent à l'association de protéger les données
concernant la vie privée de ses adhérents en sécurisant ses serveurs
et les procédures liées à la gestion des adhérents et des services qui
leur sont fournis.

Il est souhaitable de rédiger (ou de copier sur un FAI associatif
existant) une charte d'utilisation des services qui précisera les
droits et les devoirs des uns et des autres. Elle pourra notamment
rappeler que les services sont assurés par des bénévoles, et qu'il ne
peut donc pas y avoir d'engagement quantitatif sur la qualité ou la
disponibilité du service.

\section{Obtenir des adresses IP}

Comme on l'a vu ci-dessus, l'adresse IP va être en quelque sorte
l'identifiant des adhérents sur le réseau. Les adresses IP publiques
doivent être uniques au niveau mondial, et il existe donc un mécanisme
pour les allouer aux différents fournisseurs d'accès
internet~\cite{bortzmeyer2011}.

Pour un nouveau fournisseur d'accès qui se crée, le plus simple pour
commencer c'est de trouver un fournisseur existant qui serait prêt à
louer ou à prêter gratuitement une partie des adresses IP qu'il
n'utilise pas.

L'autre solution est de contacter directement un LIR (Local Internet
Registrery) pour monter un dossier afin d'obtenir sa propre plage
d'adresses IP.  Cette approche est plus complexe parce qu'il faut
argumenter sa demande, en montrant que le besoin est réel, ce qui peut
poser un problème de poule et d'\oe{}uf pour une nouvelle structure qui
démarre.

Le coût des adresses IP est entre 10 et \EUR{20} par an et par adresse
IP.

\subsection*{Pénurie d'adresses IPv4}

Depuis le début, l'Internet utilise principalement la version 4 du
protocole IP\footnote{\emph{Internet Protocol}, tout simplement}, 
qui se reconnaît facilement au format des adresses utilisées :
elles sont exprimées sous forme de quatre nombres entre 0 et 256,
séparés par des points. Par exemple 192.9.201.54 est une adresse IP version 4 ou
IPv4.

Ces quatre nombres entre 0 et 256 (quatre \emph{octets}) permettent de
construire environ quatre milliards d'adresses IPv4. L'internet
mondial ayant beaucoup grossi, l'ensemble des adresses possibles est
presque complètement alloué. Il devient donc difficile pour les
nouveaux fournisseurs d'accès d'obtenir de nouvelles adresses IPv4.

Mais au moment où ce document est écrit, et en raison des contraintes
légales exprimées ci-dessus, il est préférable de se débrouiller pour
avoir encore une adresse IPv4 publique par adhérent que l'on souhaite
connecter.

\subsection*{Préparer le futur : IPv6}

La version 6 du protocole IP (ou IPv6), qui existe depuis près de
vingt ans résout (entre autres) ce problème de pénurie des adresses
IP, grâce à l'utilisation d'un espace beaucoup plus grand (deux
puissance 128 adresses différentes sont possible, ce qui est
monstrueusement gigantesque). Mais ce «\,nouveau\,» protocole tarde à
s'imposer. Pour déployer le réseau pour le grand public, on ne peut
pas se passer d'utiliser encore IPv4.

Néanmoins, il est souhaitable d'obtenir aussi, au moment de démarrer
un nouveau FAI des adresses IPv6 pour préparer le futur. En raison de
leur abondance, il est beaucoup plus facile d'obtenir des adresses
IPv6 auprès de l'organisme qui aura fourni les IPv4.

La fédération FFDN peut aider à trouver la meilleure solution
pour trouver une plage d'adresses IP disponibles en fonction du projet
(nombre d'adhérents prévu, localisation,... )

\begin{figure}[hb]
%\vspace{1em}
\includegraphics[width=\textwidth]{reseau-wifi-chanteix}
\caption{Exemple de déploiement: Illico en Corrèze}
\end{figure}

\section{Connexion à l'internet}

Pour redistribuer des accès au réseau internet, il faut commencer par
en avoir un. Comme on n'a pas une seule adresse IP à connecter, mais
toute une collection, les moyens de connexion à l'internet des
particuliers ne suffisent pas. Il faut avoir les outils pour
\emph{router} la plage d'adresse IP des adhérents vers le reste du
réseau.

La solution normale consiste à  trouver un prestataire de services
(datacenter, opérateur pro, ou structure associative) qui va permettre
d'héberger un routeur (un PC avec le logiciel adapté fait l'affaire)
qui va se charger du travail et fournir (moyennant paiement) la
connexion au réseau.

La fédération FFDN est à nouveau très utile pour aider les nouveaux à
trouver la meilleure solution.

\subsection*{Routage}

La solution normale pour faire arriver le trafic internet sur les
adresses IP de l'association c'est de créer un nouveau \emph{système
  autonome}, ou AS (\emph{Autonomous System} en anglais) et de faire
en sorte qu'il soit annoncé aux autres opérateurs sur l'internet via
le protocole de routage BGP (\emph{Border Gateway Protocol}), qui est
le protocole utilisé pour connecter entre eux tous les AS de
l'internet.

Le routeur du nouveau FAI peut être un simple PC sous Linux et c'est
le logiciel \emph{Bird} qui sera alors utilisé pour faire cette
connexion.

Ici encore l'aide des autres associations membre de FFDN va être très
utile pour obtenir le numéro d'AS et configurer le logiciel de routage
Bird.

Il est aussi possible, pour un petit déploiement initial, de trouver un
partenaire disposé à assurer la fonction de routage  en
incluant ces adresses IP dans son propre AS et en routant le trafic
statiquement vers votre routeur (et c'est encore plus simple si c'est
le partenaire qui a fourni les adresses).

\subsection*{Transit et Peering}

L'échange de trafic avec les autres AS de l'internet peut se faire de
deux manières : soit par du \emph{transit} (payant) assuré par des
prestataires commerciaux, soit par du \emph{peering} (généralement
gratuit) avec d'autres AS sur des \emph{points d'échange} internet.

Il existe des points d'échange internet dans les grandes villes de
France (FranceIX à Paris, Lyonix à Lyon, TouIX à Toulouse, etc...). Ce
sont des structures associatives qui pourront aussi aider et donner des
conseils pour établir les premiers peerings d'un nouveau réseau.
\cite{bortzmeyer2011} \cite{amsix2013}

\section{Connexion des adhérents}

\begin{figure}[h]
\centerline{\includegraphics[width=.6\textwidth]{alex_20130316-crop}}
\caption{Relais radio sur les toits de Toulouse}
\end{figure}

La dernière étape est le raccordement du routeur qui gérera l'accès du
nouveau fournisseur d'accès à l'internet aux adhérents.

Les fournisseurs d'accès internet associatifs de FDN utilisent pour
cela principalement deux techniques :
\begin{itemize}
\item une connexion ADSL des adhérents via un réseau de collecte d'un
  prestataire commercial (Nerim dans le cas de FDN et de
  Tetaneutral.net). Cette solution n'est cependant pas très
  intéressante : elle nécessite que l'adhérent se trouve dans une zone
  avec une bonne desserte ADSL (donc pas dans une zone blanche), ou il
  peut aussi bénéficier des offres ADSL traditionnelles. Les tarifs
  que peut proposer un FAI associatif pour couvris ses frais ne sont
  pas concurrentiels, et il ne pourra pas offrir pas défaut tous les
  services connexes (télévision, téléphone,..)

  Le raccordement en ADSL est donc réservé aux militants de l'internet
  neutre et libre qui sont prêts à faire un sacrifice financier pour
  soutenir un projet associatif et ne pas dépenser leur argent
  directement avec les opérateurs traditionnels.

\item pour desservir les zones blanches (ou non) on utilise alors une
  technologie radio basse puissance, dans la bande de fréquence autour
  de 5.5 GHz utilisant une technologie de type Wifi. L'utilisation
  d'antennes semi-directionnelles ou de petites paraboles
  directionnelles (jusqu'à 40cm de diamètre) permet de couvrir des
  distances jusqu'à une quinzaine de kilomètres pour des débits
  symétriques entre 10 et 100 Mbits/seconde.

  La principale contrainte de cette technologie est que dans la bande
  de fréquences utilisée, le signal ne traverse pas les obstacles
  (bâtiments, arbres, collines,...). Il faut donc que les points à
  connecter soient en vue directe, ou alors il faut trouver un point
  relais intermédiaire.

\end{itemize}

Dans ce qui suit, on s'intéressera uniquement au déploiement du réseau
en radio. Un guide pratique pour le déploiement radio qui détaille les
points ci-dessous a été rédigé par les adhérents à Tetaneutral.net de
Mauvaisin~\cite{brun2014}.

\subsection*{Topologie du réseau}

Le réseau radio doit connecter tous les adhérents, soit en constituant
un seul réseau en étoile ou en arbre à partir d'un point central de
collecte (le routeur de l'association), soit en via plusieurs arbres,
connectés au point central par des tunnels.

une paire d'antennes Wifi se comporte comme un câble Ethernet. On
construit donc une topologie similaire à celle d'un réseau Ethernet
classique : il ne faut pas faire de boucle et connecter tout le
monde. On obtient alors une topologie en arbre.

Les antennes peuvent être soit des points d'accès, soit des
stations. Un point d'accès permet de connecter plusieurs stations
alors qu'une station se connecter à un point d'accès unique.

Sur les liens à plusieurs relais, on alterne donc des points d'accès
et des stations connectés alternativement en radio et via des
connexions filaires classiques (câble Ethernet simple ou bien
commutateur).

Les antennes sont configurées en mode pont Ethernet. Un réseau radio
se comporte donc comme un grand commutateur qui connecte tous les
adhérents au routeur.

\subsection*{Utilisation de tunnels}

Dans bien des cas, le routeur du fournisseur d'accès ne se trouve pas
dans un endroit pratique pour y connecter directement des adhérents en
radio.

On va alors rechercher un point intermédiaire, disposant d'une
connexion internet à haut débit (ADSL, VDSL ou fibre optique) que l'on
connectera au routeur via un tunnel au dessus de cette connexion
internet « classique »


\subsection*{La box chez l'adhérent}

Pour terminer chaque adhérent a besoin d'une « box » pour recevoir sa
connexion et la redistribuer dans son logement (soit en Wifi, soit via
un petit commutateur pour distribuer un réseau filaire sur les
ordinateurs de la maison.

La pratique de tetaneutral.net est de fournir à chaque adhérent un
petit routeur Wifi pré-configuré, avec, du coté du réseau radio
l'adresse IP publique de l'adhérent et qui distribue en interne un
réseau IP privé à l'aide du mécanisme de NAT.


\section{Services supplémentaires}

Une fois l'ensemble du dispositif décrit ci-dessus déployé, le
fournisseur d'accès est opérationnel. Il peut néanmoins être utile de
mettre en place un certain nombre de services supplémentaires pour
pouvoir contrôler le bon fonctionnement du réseau et simplifier
certaines opérations de maintenance.

\subsection*{Serveur de noms}
Il est très utile  de réserver un nom de domaine (par
ex. tetaneutral.net) pour l'association pour associer les adresses IP
à des noms et rendre visible les serveurs de l'association

Le nom de domaine de l'association sera acheté chez un prestataire
spécialisé (par Gandi), et le serveur DNS peut être géré soit chez le
prestataire, soit sur une machine du réseau de l'association qui
restera allumée en permanence, à l'aide du logiciel \emph{bind}.

Le serveur de noms peut déléguer aux adhérents qui le souhaitent le
choix du nom utilisé pour la résolution inverse (trouver le nom à
partir de l'adresse) de leur adresse IP. Celui-ci peut correspondre à
leur propre nom de domaine s'ils en ont un (genre dupond.fr).

Enfin le serveur de nom pourra être utilisé par les PCs des adhérents
via la configuration automatique des paramêtres réseau qui sera
fournie par leur box.

\subsection*{Serveur web}

Un serveur web permet de faire connaître l'association et de mettre en
place des outils tels qu'un formulaire de contact, des forums de
discussion ou d'entraide, un blog, etc.


Le serveur en question peut être hébergé par l'association elle-même
sur un PC connecté à son réseau (il utilisera alors une adresse IP de
l'association) ou bien être hébergé soit par une association amie de
FFDN, soit par un hébergeur de contenus classique (OVH, Gandi... )

\subsection*{Supervision du réseau}

Normalement tous les opérateurs de réseau ont un logiciel de
supervision qui recueille en permanence des données sur l'ensemble des
équipements (routeur, antennes, commutateurs,...)  pour s'assurer de
leur bon fonctionnement et éventuellement collecter des statistiques
sur l'utilisation des différentes ressources.

Tetaneutral.net utilise les logiciels Nagios
et Check\_MK qui tournent sur un PC Linux qui fonctionne en
permanence. Une interface web permet de consulter l'état du réseau et
d'afficher des graphes de trafic. Nagios peut aussi produire des
alertes et prévenir via SMS ou émail l'équipe des bénévoles en cas de
défaillance  ou de problème sur un équipement du réseau.


\subsection*{Messagerie ?}

Les fournisseurs d'accès traditionnels proposent presque tous un
service de messagerie, avec des adresses du type nom@fournisseur.com.
Un fournisseur associatif peut choisir d'offrir également ce
service. Mais ce n'est pas indispensable et avant de décider de
l'offrir, il faut avoir en tête un certain nombre de contraintes,
sachant que ce type de service est plutôt plus difficile à configurer
et à gérer que la partie accès internet.

\begin{itemize}
\item responsabilité : les services de messagerie sont régis par le
code des télécommunications qui garanti la confidentialité des
messages et rend l'opérateur responsable. C'est donc à l'opérateur de
sécuriser ses serveurs.
\item disponibilité : un service de messagerie doit fonctionner 24h/24
  et les utilisateurs sont peu tolérants face à un service peu fiable.
\end{itemize}

Pour information, Tetaneutral.net a choisi explicitement de ne pas
fournir de service de messagerie à ses adhérents.

\section{Coûts}

Avant de se lancer dans l'aventure, il vaut mieux commencer par
établir un budget prévisionnel, afin de savoir où on va au niveau
financier.

L'ensemble des prestations payantes (adresses IP, transit, présence
dans un datacenter, nom de domaine,...) représente une somme
récurrente dont une partie est fixe et l'autre dépend du nombre de
foyers connectés et du trafic réseau.

À cela il faut ajouter un investissement initial (achat d'un routeur
(une configuration de PC basique autour de \EUR{400} peut faire
l'affaire, des équipements radio (entre \EUR{50} et \EUR{100} par
antenne et des routeurs des adhérents (environ \EUR{25}, plus divers
petits matériels pour fixer les antennes,.... qu'il faut amortir avec
les cotisations des adhérents.

Dans le cas de Tetaneutral.net, un prêt d'un des co-fondateurs de
l'association a rendu possible
l'investissement initial. Ensuite, en raison du succès de
l'association, une redevance mensuelle comprise entre 20 et \EUR{30}
permet à l'association de couvrir les frais récurrent et a permi de
rembourser en deux ans le prêt initial. Le détail du bilan financier
mensuel de Tetaneutral.net est publié sur le site web de
l'association.

\section*{Conclusion}

L'environnement juridique qui encadre la fourniture d'accès à Internet
en France est relativement léger et permet facilement de créer son
propre FAI dans les zones délaissées par les opérateurs traditionnels.

Quelques connaissances en réseau sont nécessaires pour déployer la
partie technique, mais la fédération
FFDN et les membres de tous les FAI associatifs seront en général
heureux de partager leurs connaissances pour aider de nouveaux venus.

% Bibiliographie
\nocite{*}
\bibliography{intro}

\section*{Licence}
\includegraphics[width=2cm]{88x31}

Ce document est sous licence \\
\emph{Creative Commons Paternité - Partage à l'Identique 3.0 non transposé.}

Le texte complet de cette licence est disponible à l'adresse~:\\
\url{http://creativecommons.org/licenses/by-sa/3.0/}

La figure du réseau Illico a été réalisée par Thomas Guillot. Elle est
également sous licence \emph{Creative Commons Paternité - Partage à l'Identique 3.0 non transposé.}

\end{document}