Utiliser une Douchette Pro à travers un réseau wifi bridé

Utiliser une Douchette Pro à travers un réseau wifi bridé

Les Douchettes Pro ont besoin d'une connexion internet pour fonctionner.  Cette connexion peut être apportée :
  1. par une connexion 3G/4G (en insérant une carte SIM)
  2. par un routeur Wifi

Le contrôle peut éventuellement être fait "sans connexion" mais il faut tout de même une connexion pour synchroniser les billets, avant puis après la séance.
Pour en savoir plus, suivez ce guide.

Connexion Wifi bridée par un portail de connexion ?

Dans certains lieux, l'accès wifi est bridé par un "portail" où il faut s'authentifier par un identifiant, par un SMS, ... pour cela il vous faut préalablement lancer un navigateur depuis la douchette (Chrome par exemple), vous identifier sur le portail, puis une fois identifié, vérifiez que votre connexion fonctionne (en vous rendant par exemple sur Wikipedia). Si votre connexion fonctionne, lancez alors l'application Mapado Scan pour pouvoir scanner des billets.

Connexion Wifi bridée par un firewall ?

Dans certains lieux, la politique de sécurité réseau impose de passer par un réseau protégé par un firewall. Vous aurez alors besoin d'indiquer à l'administrateur réseau quels sont les serveurs et protocoles utilisés par la douchette pour qu'il en autorise l'accès. En voici la liste :

Authentification Oauth
Ports : 80 et 443
Destination : accounts.mapado.com
Protocoles : HTTP & HTTPS

API de Billetterie
Ports : 80 et 443
Destination : ticketing.mapado.net
Protocoles : HTTP et HTTPS

Log des erreurs
Ports : 80 et 443
Destination : sentry.mapado.net et sentry.mp.waays.eu
Protocoles : HTTP et HTTPS

Déploiement des mises à jour automatiques
Ports : 80 et 443
Destination : codepush.azurewebsites.net
Protocoles : HTTP & HTTPS

Déploiement des mises à jour manuelles
Port : 80 et 443
Destination : www.mapado.xyz
Protocole : HTTP et HTTPS

Téléchargement des mises à jour
Port : 80 et 443
Destination : files.mapado.com et tmpfiles.mapado.com
Protocole : HTTP et HTTPS

Pour les douchettes de marque Sunmi, au moins lors de la première installation automatisée (premier allumage), il vous faut aussi autoriser l'accès aux serveurs suivants (téléchargement des mises à jour du système d'exploitation, accès à la boutique d'application d'où est installé l'application Mapado Scan...). 
Vous pouvez aussi faire cette première installation (premier démarrage) depuis un point d'accès non filtré (de type Livebox, Freebox...) si vous ne souhaitez pas implémenter ces règles dans votre firewall.
Destination : apk.cdn.sunmi.com.wsdvs.com / xiaomi.dlmixhttps.speedcdns.com / ota.cdn.sunmi.com.mgslb.com / apk.cdn.sunmi.com.w.kunlunar.com / ota.cdn.sunmi.com.w.kunlunar.com / file.cdn.sunmi.com.w.kunlunar.com / pic.cdn.sunmi.com.w.kunlunar.com / d10br2b8k9bn0s.cloudfront.net / apk.cdn.sunmi.com / pic.cdn.sunmi.com / file.cdn.sunmi.com / ota.cdn.sunmi.com / webapi.sunmi.com / api.sunmi.com / tob-service.sunmi.com / socket.sunmi.com / apprtc.sunmi.com / posmq.sunmi.com / paasapi.sunmi.com / sgapprtc.sunmi.com / auapprtc.sunmi.com / kpapprtc.sunmi.com / brapprtc.sunmi.com / shapprtc.sunmi.com / idapprtc.sunmi.com / gbapprtc.sunmi.com / caapprtc.sunmi.com / seapprtc.sunmi.com / swapprtc.sunmi.com / deapprtc.sunmi.com / jpapprtc.sunmi.com / frapprtc.sunmi.com / ieapprtc.sunmi.com / bjapprtc.sunmi.com / hkapprtc.sunmi.com / rom.log.sunmi.com / register.xmpush.global.xiaomi.com / fr.register.xmpush.global.xiaomi.com / ru.register.xmpush.global.xiaomi.com / idmb.register.xmpush.global.xiaomi.com / register.xmpush.xiaomi.com / resolver.msg.xiaomi.net / resolver.msg.global.xiaomi.net / app.chat.global.xiaomi.net / fr.app.chat.global.xiaomi.net / ru.app.chat.global.xiaomi.net / idmb.app.chat.global.xiaomi.net / app.chat.xiaomi.net / maven.n.miliao.com:8081 / www.jivesoftware.com / nexus.d.xiaomi.net / f7.market.xiaomi.com / f5.market.xiaomi.com / f6.market.xiaomi.com / f8.market.xiaomi.com / t1.market.xiaomi.com / pic1.ooopic.com / websocket.sunmi.com / appremotesocket.sunmi.com / useapprtc.sunmi.com / uswapprtc.sunmi.com / ujapprtc.sunmi.com / uaeapprtc.sunmi.com / xgapprtc.sunmi.com / adb.sunmi.com

Les douchettes fonctionnent sous Android : les notifications envoyées par Android passent par les ports 5228, 5229 et 5230. Selon leur documentation officielle, elles peuvent être envoyées de n'importe quelle IP de Google et ils recommandent ainsi d'autoriser ces ports sur toutes leur classe d'IP (vous pouvez retrouver l'ensemble de leurs préfixes ipv4 et ipv6 ici : https://bgp.he.net/AS15169 ). C'est via les notifications Android que certains messages peuvent être envoyés largement (alerte de sécurité notamment).

De la même façon, le Play Store permet la mise à jour automatique des applications intégrées nativement (Chrome notamment). Pour autoriser le Play Store, il faudra demander d'autoriser toute une série de domaines Google sur le réseau : *.ggpht.com / *.play.googleapis.com / android.clients.google.com / www.googleapis.com / *.gvt1.com 

Enfin le mécanisme de validation des certificats SSL TLS a besoin sur Chrome d'avoir une autre série de domaines autorisés ( https://support.google.com/chrome/a/answer/6334001?hl=fr ). 

A noter que ces différentes routes ne sont pas nécessaires pour le bon fonctionnement de l'application Mapado Scan (nous n'utilisons pas les notifications Android et nous publions les mises à jour par nos propres canaux), mais elles restent utiles pour avoir un système à jour ou pour accéder par exemple à des tutoriels ou guides en ligne depuis la Douchette Pro.

Il faut aussi libérer certaines adresses utilisées par Android pour vérifier la connexion internet

Les douchettes fonctionnent sous Android et vérifient périodiquement si la connexion internet fonctionne et si l'accès est libre (sans avoir à se connecter à un "portail" comme cela peut être le cas dans des hôtels, des restaurants, des gares, ...).

Certaines de nos "anciennes" douchettes font ainsi des appels périodiques généralement sur des serveurs Google ( souvent clients3.google.com/generate_204 ).
Si cet appel n'aboutit pas, Android ajoute une petite croix sur l'icône de votre signal wifi et/ou vous redirige vers le portail en question (ou vers un écran blanc).

Certains fabricants qui ne souhaitent (ou ne peuvent) pas utiliser les serveurs de Google ont mis en place d'autres adresses de tests comme connect.rom.miui.com/generate_204 ou www.qualcomm.cn/generate_204 ou encore noisyfox.cn/generate_204 

C'est le cas d'un des fabricants de douchettes que nous avons utilisé par le passé (Corewise). Si vous êtes dans ce cas et que vous avez mis en place un pare-feu sur votre réseau, nous vous recommandons ainsi de vérifier si l'adresse https://noisyfox.cn/generate_204 est bien autorisée.

Vous ne pouvez pas fonctionner avec le wifi du lieu ?

Il reste possible de vous connecter en partage de connexion Wifi depuis votre mobile. Vous n'êtes pas forcément obligé de maintenir le partage activé pendant toute l'opération de contrôle (même si c'est tout de même mieux) mais au moins avant l’événement pour récupérer les derniers billets valides.

Pour cela, sur votre mobile (qui est lui connecté à Internet), direction le partage de connexion pour créer un réseau wifi temporaire. Et ensuite, vous n'aurez plus qu'à vous connecter depuis la douchette sur ce réseau wifi, et le tour est joué !


Article associé
  1. Utiliser une Douchette Pro à travers un réseau wifi bridé