Sitzung: Jeden Freitag in der Vorlesungszeit ab 16 Uhr c. t. im MAR 0.005. In der vorlesungsfreien Zeit unregelmäßig (Jemensch da?). Macht mit!

WLAN: Unterschied zwischen den Versionen

(wicd/wpa_supplicant)
(wicd/wpa_supplicant)
Zeile 22: Zeile 22:
  
 
Editiere/erstelle ''/etc/wicd/encryption/templates/eduroam'' und füge:   
 
Editiere/erstelle ''/etc/wicd/encryption/templates/eduroam'' und füge:   
 +
  
 
  name = eduroam
 
  name = eduroam
Zeile 38: Zeile 39:
 
         password="$_PASSWORD"
 
         password="$_PASSWORD"
 
         ca_cert="/usr/share/ca-certificates/tu-berlin.de"
 
         ca_cert="/usr/share/ca-certificates/tu-berlin.de"
}
+
}
  
  

Version vom 2. Dezember 2016, 22:59 Uhr

An der TU-Berlin gibt es mehrere unterschiedliche WLAN-Netze, die Zugang zum Internet vermitteln. Diese Netze werden derzeit durch das campusweit verfügbare eduroam-Netzwerk abgelöst, das den Zugang auch an anderen europäischen Hochschulen mit dem Account der TU ermöglicht.

eduroam (und BOWL)

Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lauten eduroam oder eduroam.bowl.tu-berlin.de. Hier die Tubit-Anleitung für Windows, Mac und diverse Mobilgeräte. Neuerdings auch für Linux mit Gnome.

Speziell für Linux zu beachten:

  1. Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, welches noch nicht im SecureW2 integriert ist.
  2. Einige Einstellungen sind folgende:
    • Identity: "tubIT-Nutzerkonto"@win.tu-berlin.de
    • Password: das zum Account gehörige Passwort
    • Anonymous Identity: *leer*

Network Manager (Gnome)

Siehe: Anleitung von tubIT.

wicd/wpa_supplicant

wicd hat diese Verschlüsselung nicht standardmäßig, aber es ist möglich sie hinzuzufügen, dank templates.

Editiere/erstelle /etc/wicd/encryption/templates/eduroam und füge:


name = eduroam
author = weall
version = 1
require identity *Identity password *Password protected password *Password
-----
ctrl_interface=/var/run/wpa_supplicant 
update_config=0 
network={
       ssid="eduroam"
       key_mgmt=WPA-EAP IEEE8021X
       eap=PEAP
       phase2="auth=MSCHAPV2"
       identity="$_IDENTITY"
       password="$_PASSWORD"
       ca_cert="/usr/share/ca-certificates/tu-berlin.de"
}


ein. Das "IEEE8021X" ist neuerdings notwendig (Stand 13.05.2013). 
[Update: 2016 geht es auch ohne "IEEE8021X", im eduroam am Leibnitz-Institut musste es sogar weggelassen werden.]

Die letze Zeile kann man auskommentieren wenn man die Zertifikatskette der TU Berlin installiert hat. Das ginge so:

sudo mkdir -p /usr/share/ca-certificates/tu-berlin.de
sudo wget -O /usr/share/ca-certificates/tu-berlin.de/tub.pem http://www.tubit.tu-berlin.de/fileadmin/a40000000/tubIT/Trustcenter/TU-Berlin_Zertifikatkette.pem

Nun ist man auch sicher vor Rogue Access Points.

Das template muss aktiv werden

echo "eduroam" | sudo tee -a /etc/wicd/encryption/templates/active

wicd neu starten

sudo /etc/init.d/wicd restart

bzw. sudo service wicd restart

Jetzt nur noch die Verschlüsselung aus der Liste des GUI wählen und Identity/Password füllen

Hinweis: Bei gentoo-Nutzern kann es zu Problemen kommen, wenn der wpa_supplicant mit gnutls gelinkt wird, da die Primzahlen der Authentifizierung zu klein sind...

Eduroam und Android

allgemeine tubIT Anleitung für Android [1]

tubIT Anleitung für HTC Legend mit Android 2.2: [2]

(nicht empfohlen) Alternativ mit Root-Rechten und Console (auf einem Samsung Galaxy getestet)


Voraussetzung

Zwingende Voraussetzung um das Eduroamnetz in der Uni mit seinem Android Handy nutzen zu können ist, dass man Root-Zugriff auf dem Telefon hat. Um diesen zu bekommen gibt es diverse Anleitungen, je nach Handymodell. Eine für das Samsung Galaxy findet man zum Beispiel hier [3] .

Aber Achtung, dabei kann das Gerät beschädigt werden.


Wifihelper

Samsung Galaxy Nutzer springen bitte direkt zur wpa_supplicant Variante.

Wenn der Root-Zugriff möglich ist, kann man sich aus dem Android Market die Wifihelper App herunterladen. Diese gibt es in einer kostenlosen und in einer kostenpflichtigen Version. Die kostenlose reicht für diesen Zweck. Innerhalb dieser könnt ihr ganz bequem die Einstellungen vornehmen.

 SSID: eduroam
 Connection Mode: Infrastructure
 Wifi Security: WPA Enterprise
 Authentication: PEAP
 Phase 2 Authentication: MSCHAPv2
 Anonymous ID:
 Identity: tubIT-Benutzerkennung@win.tu-berlin.de
 Password: selbsterklärend

Das Ganze wird in die wpa_supplicant.conf geschrieben. Wenn man dann Wlan aktiviert und in der Nähe des eduroam ist, wird automatisch eine Verbindung hergestellt.


wpa_supplicant

Falls Variante 1 nicht funktioniert oder man ein Samsung Galaxy hat, muss nach folgendem Schema vorgegangen werden. Das Mobiltelefon wird mit dem Rechner per Usb verbunden. Zunächst braucht man die Config fürs Wlannetz:

 network={
       ssid="eduroam"
       scan_ssid=1
       proto=WPA
       key_mgmt=WPA-EAP
       pairwise=AES
       group=AES
       eap=PEAP
       anonymous_identity=""
       identity="tubIT-benutzername@win.tu-berlin.de"
       password="passwort"
       phase2="auth=MSCHAPv2"
 }


Diese muss in die wpa_supplicant.conf im Verzeichnis /data/misc/wifi/ auf eurem Telefon eingfügt werden.

Das geht folgendermaßen:

Ihr müsst nun oben genannte Config in die wpa_supplicant.conf eintragen. Dazu öffnet ihr ein Terminal. Wechselt in das Verzeichnis „tools“ im Android SDK und führt dann folgende Kommandos aus:

 sudo ./adb shell
 su
 echo 'hier fügt ihr die Config ein' > /data/misc/wifi/wpa_supplicant.conf (Wichtig, es müssen ' sein und nicht „“)


Samsung Galaxy

Ihr müsst nun oben genannte Config in die bcm_supp.conf eintragen. Dazu öffnet ihr ein Terminal. Wechselt in das Verzeichnis „tools“ im Android SDK und führt dann folgende Kommandos aus:

 sudo ./adb shell
 su
 echo 'hier fügt ihr die Config ein' > /data/misc/wifi/bcm_supp.conf (Wichtig, es müssen ' sein und nicht „“)

Danach 2 mal Strg+D drücken und das Mobiltelefon kann wieder vom Rechner entfernt werden.

Sicherheitshalber das Gerät neustarten und wenn man in die Nähe des eduroam kommt, sollte sich eine Verbindung aufbauen.

Android 4.1 — Jelly Bean

Eduroam kann mindestens ab Android 4.1 out-of-the-box genutzt werden. In den WLAN Einstellungen wird das eduroam — Secured with 802.1x-Netzwerk ausgewählt. Im Einstellungsdialog werden dann folgende Daten eingegeben:

  • EAP-Methode: PEAP
  • Phase 2: MSCHAPV2
  • CA Zertifikat: keins
  • Benutzerzertifikat: keins
  • Identität: tubIT-benutzername@win.tu-berlin.de
  • Anonymous: tubIT-Benutzername
  • Passwort: tubIT-Passwort
  • Proxy: keiner
  • IP Einstellungen: DHCP

alte Wlan- Netze

Die alten Netze zeichnen sich dadurch aus, dass sie zunächst ein unverschlüsseltes WLAN mit privaten Adressen zur Verfügung stellen. Man startet dann einen VPN-Client und erhält darüber Zugang zum Internet.


Das IRB im FR

VPN Server: prima.cs.tu-berlin.de . Um mit diesem ein VPN aufzubauen braucht ihr einen Zugang zum IRB VPN.


TU-Berlin_VPN und VPN/WEB (und oft Kabelnetzwerk)

Dieses WLAN der tubIT war in den Gebäuden H, MA, HFT, EN stark ausgebaut und war auf den gesamten Campus geplant. Es nutzte das VPN der tubIT. Das WLAN-Netz und der support sind mittlerweile jedoch eingestellt. Zum Einsatz kam Anfangs der Cisco VPN-Client, später wurde parallel ein Zugang via openvpn ermöglicht. Das Wlan selbst ist nicht verschlüsselt, die Daten laufen aber durch das verschlüsselte VPN.

Anleitungen: Tubit-Anleitung

Der Zugang via openvpn kann auch aus beliebigen anderen Netzen genutzt werden, um einen verschlüsselten Tunnel in das Uninetz aufzubauen und so in einem anderen öffentlichen Wlan (bei einem Hotspot, in einem Hotel, etc) eine gesicherte Verbindung zu erhalten oder von aussen auf Angebote innerhalb der Uni zuzugreifen, die nur aus dem Uninetz freigegeben sind.


openvpn deamon

Openvpn installieren (aptitude oder apt-get):

sudo aptitude install openvpn

Konfiguration runterladen:

sudo wget http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Software/OpenVPN/tubit.ovpn -vO /etc/openvpn/tubit.conf
sudo wget http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Software/OpenVPN/tubITChain.crt -vO /etc/openvpn/tubITChain.crt

Hierbei dient der Parameter -v der Anzeige, was der wget dabei macht (z.B. die Verbindung abbrechen weil die URL nicht stimmt, oder alles in Ordnung, usw.) und der Parameter O zur Angabe eines Output-Dateipfads.

Daemon starten:

sudo /etc/init.d/openvpn start

und Daten eingeben (Username ohne den @tu-berlin.de)

Anmerkung: Wer openvpn auch für andere Netzwerke nutzt, kann statt des obigen Aufrufs auch

sudo /etc/init.d/openvpn start <vpnname>

eingeben um nur das VPN für das mit vpnname benannte Netzwerk aufzubauen.

Um zu sehen ob die Verbinden erfolgreich gebaut wurde, einfach prüfen ob das Netzwerk Interface tap0 existiert:

ifconfig

Um openvpn am Ende zu schließen:

sudo /etc/init.d/openvpn stop

Anmerkung: bzw. alternativ

sudo /etc/init.d/openvpn stop <vpnname>

openvpn client

Der daemon ist nicht sehr gesprächig. Der Klient ist, um Probleme zu finden, besser geeignet (die Konfiguration ist die gleiche)

sudo openvpn --config /etc/openvpn/tubit.conf --ca /etc/openvpn/tubITChain.crt

Network Manager (Gnome)

Erst müssen das Paket openvpn und ein Plugin für den Network Manager (unter Ubuntu: network-manager-openvpn) installiert werden. Anschließend fügt man im Network Manager eine neue VPN-Verbindung vom Typ: Openvpn. Folgende Einstellungen müssen gesetzt werden:

  • Gateway: openvpn1.tubit.tu-berlin.de
  • Type(Authentifizierungsart): Passwort
  • User Name: benutzer@tu-berlin.de
  • Password: Tubit-PW
  • CA Certificate: wie oben tubITChain.crt unter /etc/openvpn speichern und hier auswählen.
  • Advanced: LZO und Tap_device aktivieren


DNS (für VPN/WEB)

Die Konfiguration des DNS ist ein wenig gewöhnungsbedürftig und hat sicherlich noch Potential verbessert zu werden.

Das eigentliche Problem besteht hier darin, dass im WLAN der Uni, also noch vor Aufbau der VPN-Verbindung, ein anderer DNS-Server genutzt wird, als später im VPN. Da die Adressvergabe im WLAN per DHCP erfolgt, dass regelmässig erneuert werden muss, kann es dann zu dem unschönen Effekt kommen, dass die DNS-Konfiguratin des VPN-Tunnels durch die eigentlich falsche Konfiguration der Wlan-Schnittstelle überschrieben wird.

Würde schon vor Aufbau der VPN-Verbindung ein offener DNS-Server genutzt werden, würde dies zu zwei unschönen Effekten führen. Erstens würde man wahnsinnig, weil man denkt, man sei im Internet, aber kann keine Seite erreichen, und zweitens kann die Hinweisseite mit den Anleitungen nicht angezeigt werden.


  • Wenn man mit dem Wlan TU-Berlin_VPN oder VPN/WEB verbunden ist ohne einen VPN-Tunnel aufgebaut zu haben, wird man immer auf die Tubit-Anleitung Seite geleitet.
  • Ist der DNS-Server des Tunnels falsch konfiguriert, wir man auch nachdem die VPN Verbindung errichtet ist zu dieser Seite weitergeleitet.
  • Bricht der Tunnel zusammen, wird man auch entsprechend weitergeleitet.

Man kann versuchen, nach dem Aufbau der VPN-Verbindung die DNS-Server manuell fest vorzugeben, indem man an erster Stelle den für externe Adressen zuständigen Server setzt und an die zweite Stelle den Server, der die vpn-server adresse auflösen kann. Der erste Server ist hier der von der TU-Berlin - er ist auf jeden Fall der am schnellsten erreichbare.

  • DNS1 : 130.149.4.20
  • DNS2 : 172.23.0.36 (zweite Position, sonst wird nur das erscheinen)