Sitzung: Jeden Freitag in der Vorlesungszeit ab 16 Uhr c. t. im MAR 0.005. In der vorlesungsfreien Zeit unregelmäßig (Jemensch da?). Macht mit!

WLAN: Unterschied zwischen den Versionen

(dns)
 
(39 dazwischenliegende Versionen von 23 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
An der TU gibt es zwei große Rechnernetze mit Funkzugang. Die DHCP-Server hinter den Funkstationen weisen euch dynamisch IP-Adressen zu. Um tatsächlich etwas damit machen zu können, braucht ihr aber erst eine VPN-Verbindung zu dem jeweiligen VPN-Server des Rechnernetzes. Die CiscoVPN-Server wurde zum 1.10.2008 abgeschaltet, jetzt ist nur noch das WPA2-verschlüsselte eduroam-Netz oder der OpenVPN Dienst verfügbar.
+
An der TU-Berlin gibt es mehrere unterschiedliche '''WLAN-Netze''', die Zugang zum Internet vermitteln. Diese Netze werden derzeit durch das campusweit verfügbare '''eduroam'''-Netzwerk abgelöst, das den Zugang auch an anderen europäischen Hochschulen mit dem Account der TU ermöglicht.
  
Es sollte mittlerweile auch möglich sein, sich aus dem WLAN des [[IRB]] im [[Franklingebäude]] in das [[ZRZ VPN|VPN der tubIT]] einzuwählen, da die [[TubIT]] nun Verbindungen auch aus dem IRB-Netz annimmt. (Voraussetzung ist ein tubIT-Account)
+
= eduroam =
  
==Das IRB im FR==
+
Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lautet eduroam.
VPN Server: prima.cs.tu-berlin.de . Um mit diesem ein VPN aufzubauen braucht ihr einen Zugang zum [[IRB VPN]].
+
Hier die [https://www.campusmanagement.tu-berlin.de/wlan/ Anleitung der ZECM] für Windows, Linux, Mac und diverse Mobilgeräte. Sie erfordert das herunterladen und starten eines Windows/Mac-Programms bzw. eines Python-Skripts, welche die Konfiguration vornimmt. Alternativ kann die Einrichtung auch manuell erfolgen:
  
==WLAN der tubIT im H, MA, HFT und EN==
+
Speziell für Linux zu beachten:
Hier braucht ihr den Zugang zum [[ZRZ VPN]] und einen speziellen Client.
+
# Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, das zugehörige Root-Zertifikat ist bei den meisten Linux-Distributionen im Paket "ca-certificates" vorhanden.
 +
# Allgemeine Einstellungen sind folgende:
 +
#* Identity: ''ZECM-Nutzerkonto''@tu-berlin.de
 +
#* Anonymous Identity: wlan@tu-berlin.de
 +
#* Password: das zum Account gehörige Passwort
 +
#* Phase 1: PEAP
 +
#* Phase 2: MSCHAPv2
 +
#* ca_certificate: T-TeleSec GlobalRoot Class 2
  
== TU-Berlin_VPN und VPN/WEB (und oft Kabelnetzwerk) ==
+
== Network Manager (Gnome) ==
  
Sie sind nicht verschlüsselt, aber um ins Internet zu kommen braucht man OpenVPN.
+
Siehe: [http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Screenshot/802.1X/802.1x_unter_GNOME__linux_.png Anleitung] von ZECM.
  
 +
== wpa_supplicant ==
  
Für Windows und Mac : [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung]
+
Editiere/erstelle ''/etc/wpa_supplicant/wpa_supplicant.conf'' und füge hinzu: 
  
Für linux :
+
  network={
 
+
        ssid="eduroam"
=== openvpn deamon ===
+
        key_mgmt=WPA-EAP
 +
        # Phase1
 +
        eap=PEAP
 +
        anonymous_identity="wlan@tu-berlin.de"
 +
        ca_cert="/usr/share/ca-certificates/mozilla/T-TeleSec_GlobalRoot_Class_2.crt"
 +
        # Phase2
 +
        identity="*ZECM-Nutzerkonto*@tu-berlin.de"
 +
        phase2="auth=MSCHAPV2"
 +
        password="*ZECM-Passwort*"
 +
}
  
openvpn installieren (aptitude oder apt-get):
+
== Android ==
sudo aptitude install openvpn
 
  
Konfiguration runterladen:
+
=== Variante 1 (kein root-Zugriff erforderlich) ===
sudo wget http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Software/OpenVPN/tubit.ovpn -o /etc/openvpn/tubit.conf
 
sudo wget http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Software/OpenVPN/tubITChain.crt -o /etc/openvpn/tubITChain.crt
 
  
deamon starten:
+
Unter Einstellungen/WLAN ein Netzwerk hinzufügen:
sudo /etc/init.d/openvpn start
 
  
und daten eingeben (User ohne den @tu-berlin.de)
+
  SSID: eduroam
 +
  Sicherheit: WPA Enterprise bzw. 802.1x EAP
 +
  Authentifizierung: PEAP
 +
  Phase 2 Authentifizierung: MSCHAPv2
 +
  CA-Zertifikat: Systemzertifikate verwenden
 +
  Domain: tu-berlin.de
 +
  Identität: *ZECM-Nutzerkonto*@tu-berlin.de
 +
  Anonyme Identität: wlan@tu-berlin.de
 +
  Passwort: *ZECM-Passwort*
  
Um zu sehen ob die Verbinden erfolgreich gebaut wurde, einfach prüfen ob das Neztwerk tap0 existiert :
+
Das Ganze wird in die wpa_supplicant.conf geschrieben. Wenn man dann Wlan aktiviert und in der Nähe des eduroam ist, wird automatisch eine Verbindung hergestellt.
ifconfig
 
  
Um openvpn am Ende zu schließen :
+
Bei manchen Android-Versionen funktioniert die Zertifikatsprüfung nicht richtig und die Verbindung schlägt fehl, in dem Fall kann man die [https://www.campusmanagement.tu-berlin.de/trustcenter/allgemeine_informationen/ Zertifikatkette der ZECM] herunterladen und installieren. Die Abschaltung der Zertifikatprüfung ist nicht empfehlenswert; dann funktioniert es zwar, aber es gibt keinen Schutz mehr gegen bösartige Access-Points.
sudo /etc/init.d/openvpn stop
 
  
=== openvpn client ===
+
=== Variante 2: wpa_supplicant.conf (root erforderlich) ===
  
Der deamon ist nicht sehr gesprächig. Der Klient ist und Probleme zu finden besser geeignet (die Konfiguration ist die gleiche)
+
Falls Variante 1 nicht funktioniert oder man ein altes Samsung Galaxy hat das die notwendigen Einstellmöglichkeiten nicht hat, muss nach folgendem Schema vorgegangen werden. Das Mobiltelefon wird mit dem Rechner per USB verbunden und USB-Debugging aktiviert.
sudo openvpn --float --config /etc/openvpn/tubit.conf --ca /etc/openvpn/tubITChain.crt
 
  
=== kvpnc ===
+
Zunächst erstellt man unter Linux die wpa_supplicant.conf wie oben beschrieben. Diese muss in die wpa_supplicant.conf im Verzeichnis /data/misc/wifi/ auf eurem Telefon eingefügt werden. Zusätzlich ändert ihr den Pfad des CA-Zertifikats nach /system/etc/security/cacerts (falls dieses Verzeichnis nicht T-TeleSec_GlobalRoot_Class_2.crt enthält, muss diese Datei dorthin kopiert werden).
  
todo
+
Das geht folgendermaßen:
  
=== DNS ===
+
Ihr müsst nun oben genannte Config in die wpa_supplicant.conf eintragen. Dazu öffnet ihr ein Terminal. Installiert adb aus dem Android-SDK (das Paket heißt oft adb oder android-tools) und
  
Nicht sehr praktische an den VPN ist das der gegebene DNS nicht Internet orientiert ist.
+
  adb shell
 +
  su
 +
  echo 'hier fügt ihr die Config ein' >> /data/misc/wifi/wpa_supplicant.conf
 +
  # (Wichtig, es müssen ' sein und nicht „“)
  
* Wenn man an TU-Berlin_VPN oder VPN/WEB verbunden ist (bevor der VPN gestartet ist), wird man immer an die [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung] Seite geleitet.
+
== Windows 10 ==
* nachdem die VPN Verbindung errichtet ist, wird man immer zu [http://130.149.4.173/ dieser] Seite weitergeleitet.
 
* Man hat eigentlich Zugang zu Internet (direkt mit dem IP geht es), nur der gegebene DNS gibt dann nur die gleiche [http://130.149.4.173/ Seite] zurück.
 
* Die erste gegeben (von den DHCP) DNS Adresse (172.23.0.36) darf man nicht sofort ignorieren weil sollt keine VPN Verbindung erstellt werden kann (um die IP-Adresse von openvpn1.tubit.tu-berlin.de zu bekommen.
 
  
Die Lösung wäre also Internetfähige DNS zu benutzen (hier OpenDNS), und der internen (172.23.0.36).
+
Im Netzwerk- und Freigabecenter eine neue Verbindung einrichten, dann "Manuell mit einem Funknetzwerk verbinden" auswählen.
  
Es ist in meisten Netwerkmanager feste DNS für eine Verbindung zu benutzen (Static DNS) :
+
Netzwerkname ist "eduroam", Sicherheitstyp ist WPA2-Enterprise, Verschlüsselung ist AES.
* DNS1 : 208.67.220.220
 
* DNS2 : 172.23.0.36 (zweite Position, sonst wird nur [http://130.149.4.173/ das] erscheinen)
 
  
 +
Im folgenden Fenster "Verbindungseinstellungen ändern" wählen, und unter Netzwerkauthentifizierung "Microsoft Geschütztes EAP (PEAP)", und auf die Schaltfläche "Einstellungen" klicken.
  
== eduroam (und TU-Berlin_802.1x) ==
+
"Identität des Servers prüfen" aktivieren und in der Liste "T-TeleSec Global Root Class 2" als vertrauenswürdig markieren. Als Authentifizierungsmethode "Gesichertes Kennwort (EAP-MSCHAP-v2)" wählen, "Identitätsschutz aktivieren" aktivieren, und in das zugehörige Textfeld "wlan" eintragen.
  
Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lauten eduroam oder TU-Berlin_802.1x (dieser letzter sollte am aussterben sein).
+
Das Dialogfenster mit OK schließen und dann auf "Erweiterte Einstellungen" klicken. Dort den Authentifizierungsmodus angeben: "Benutzerauthentifizierung", und "Anmeldeinformationen Speichern" anklicken.
Hier die [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung] für Windows,Mac und diverse Handys.
 
 
 
Spezial für Linux :
 
 
 
Zu beachten:
 
# Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, welches noch nicht im SecureW2 integriert ist.
 
# Einige Einstellungen sind folgende:
 
#* Identity: "tubIT-Nutzerkonto"@tu-berlin.de
 
#* Password: das zum Account gehörige Passwort
 
#* Anonymous Identity: anonymous@tu-berlin.de
 
 
 
=== Network Manager (Gnome) ===
 
 
 
[http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Screenshot/802.1X/802.1x_unter_GNOME__linux_.png Anleitung] von der tubIT benutzen (sollte auch für eduroam funktionieren).
 
 
 
=== wicd ===
 
 
 
wicd hat diese Verschlüsselung nicht standardmäßig, aber es ist möglich sie hinzufügen dank templates
 
 
 
Editiere/erschaffe ''/etc/wicd/encryption/templates/eduroam'' und füge (aus [http://www.tubit.tu-berlin.de/wlan/installation/8021x/linux/ wpa_supplicant.conf]) :
 
 
 
name = eurodam
 
author = tsaitgaist
 
version = 1
 
require identity *Identity password *Password
 
-----
 
ctrl_interface=/var/run/wpa_supplicant
 
update_config=0
 
eapol_version=1
 
network={
 
        ssid="$_ESSID"
 
        scan_ssid=1
 
        key_mgmt=WPA-EAP
 
        eap=TTLS
 
        identity="$_IDENTITY"
 
        password="$_PASSWORD"
 
        anonymous_identity="anonymous@tu-berlin.de"
 
        phase1="peaplabel=0"
 
        phase2="auth=PAP"
 
}
 
  
Der template muss aktiv werden
+
In dem sich öffnenden Fenster als Benutzernamen ''ZECM-Nutzerkonto''@tu-berlin.de eingeben, und als Passwort das ''ZECM-Passwort''. Die offenen Dialogfenster mit "OK" schließen.
  
echo "eduroam" | sudo tee -a /etc/wicd/encryption/templates/active
+
Anschließend kann über das WLAN-Symbol in der Taskleiste eine Verbindung zum WLAN-Netzwerk eduroam aufgebaut werden.
  
wicd neu starten
+
= TUB-Guest =
  
sudo /etc/init.d/wicd restart
+
Das TUB-Guest Netzwerk zeichnet sich dadurch aus, dass sie zunächst ein unverschlüsseltes WLAN mit privaten Adressen zur Verfügung stellen.
  
Jetzt nur noch die Verschlüsseleung von der List vom GUI wählen und Identity/Password füllen
+
Im Browser öffnet sich dann eine Portal-Seite und man erhält darüber Zugang zum Internet.
  
 
[[Kategorie:Uni-ABC]]
 
[[Kategorie:Uni-ABC]]
 
[[Kategorie:Fakultäts-ABC]]
 
[[Kategorie:Fakultäts-ABC]]
 +
[[Kategorie:Fachbegriffe der Informatik]]

Aktuelle Version vom 27. August 2021, 16:33 Uhr

An der TU-Berlin gibt es mehrere unterschiedliche WLAN-Netze, die Zugang zum Internet vermitteln. Diese Netze werden derzeit durch das campusweit verfügbare eduroam-Netzwerk abgelöst, das den Zugang auch an anderen europäischen Hochschulen mit dem Account der TU ermöglicht.

eduroam

Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lautet eduroam. Hier die Anleitung der ZECM für Windows, Linux, Mac und diverse Mobilgeräte. Sie erfordert das herunterladen und starten eines Windows/Mac-Programms bzw. eines Python-Skripts, welche die Konfiguration vornimmt. Alternativ kann die Einrichtung auch manuell erfolgen:

Speziell für Linux zu beachten:

  1. Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, das zugehörige Root-Zertifikat ist bei den meisten Linux-Distributionen im Paket "ca-certificates" vorhanden.
  2. Allgemeine Einstellungen sind folgende:
    • Identity: ZECM-Nutzerkonto@tu-berlin.de
    • Anonymous Identity: wlan@tu-berlin.de
    • Password: das zum Account gehörige Passwort
    • Phase 1: PEAP
    • Phase 2: MSCHAPv2
    • ca_certificate: T-TeleSec GlobalRoot Class 2

Network Manager (Gnome)

Siehe: Anleitung von ZECM.

wpa_supplicant

Editiere/erstelle /etc/wpa_supplicant/wpa_supplicant.conf und füge hinzu:

 network={
       ssid="eduroam"
       key_mgmt=WPA-EAP
       # Phase1
       eap=PEAP
       anonymous_identity="wlan@tu-berlin.de"
       ca_cert="/usr/share/ca-certificates/mozilla/T-TeleSec_GlobalRoot_Class_2.crt"
       # Phase2
       identity="*ZECM-Nutzerkonto*@tu-berlin.de"
       phase2="auth=MSCHAPV2"
       password="*ZECM-Passwort*"
}

Android

Variante 1 (kein root-Zugriff erforderlich)

Unter Einstellungen/WLAN ein Netzwerk hinzufügen:

 SSID: eduroam
 Sicherheit: WPA Enterprise bzw. 802.1x EAP
 Authentifizierung: PEAP
 Phase 2 Authentifizierung: MSCHAPv2
 CA-Zertifikat: Systemzertifikate verwenden
 Domain: tu-berlin.de
 Identität: *ZECM-Nutzerkonto*@tu-berlin.de
 Anonyme Identität: wlan@tu-berlin.de
 Passwort: *ZECM-Passwort*

Das Ganze wird in die wpa_supplicant.conf geschrieben. Wenn man dann Wlan aktiviert und in der Nähe des eduroam ist, wird automatisch eine Verbindung hergestellt.

Bei manchen Android-Versionen funktioniert die Zertifikatsprüfung nicht richtig und die Verbindung schlägt fehl, in dem Fall kann man die Zertifikatkette der ZECM herunterladen und installieren. Die Abschaltung der Zertifikatprüfung ist nicht empfehlenswert; dann funktioniert es zwar, aber es gibt keinen Schutz mehr gegen bösartige Access-Points.

Variante 2: wpa_supplicant.conf (root erforderlich)

Falls Variante 1 nicht funktioniert oder man ein altes Samsung Galaxy hat das die notwendigen Einstellmöglichkeiten nicht hat, muss nach folgendem Schema vorgegangen werden. Das Mobiltelefon wird mit dem Rechner per USB verbunden und USB-Debugging aktiviert.

Zunächst erstellt man unter Linux die wpa_supplicant.conf wie oben beschrieben. Diese muss in die wpa_supplicant.conf im Verzeichnis /data/misc/wifi/ auf eurem Telefon eingefügt werden. Zusätzlich ändert ihr den Pfad des CA-Zertifikats nach /system/etc/security/cacerts (falls dieses Verzeichnis nicht T-TeleSec_GlobalRoot_Class_2.crt enthält, muss diese Datei dorthin kopiert werden).

Das geht folgendermaßen:

Ihr müsst nun oben genannte Config in die wpa_supplicant.conf eintragen. Dazu öffnet ihr ein Terminal. Installiert adb aus dem Android-SDK (das Paket heißt oft adb oder android-tools) und

 adb shell
 su
 echo 'hier fügt ihr die Config ein' >> /data/misc/wifi/wpa_supplicant.conf
 # (Wichtig, es müssen ' sein und nicht „“)

Windows 10

Im Netzwerk- und Freigabecenter eine neue Verbindung einrichten, dann "Manuell mit einem Funknetzwerk verbinden" auswählen.

Netzwerkname ist "eduroam", Sicherheitstyp ist WPA2-Enterprise, Verschlüsselung ist AES.

Im folgenden Fenster "Verbindungseinstellungen ändern" wählen, und unter Netzwerkauthentifizierung "Microsoft Geschütztes EAP (PEAP)", und auf die Schaltfläche "Einstellungen" klicken.

"Identität des Servers prüfen" aktivieren und in der Liste "T-TeleSec Global Root Class 2" als vertrauenswürdig markieren. Als Authentifizierungsmethode "Gesichertes Kennwort (EAP-MSCHAP-v2)" wählen, "Identitätsschutz aktivieren" aktivieren, und in das zugehörige Textfeld "wlan" eintragen.

Das Dialogfenster mit OK schließen und dann auf "Erweiterte Einstellungen" klicken. Dort den Authentifizierungsmodus angeben: "Benutzerauthentifizierung", und "Anmeldeinformationen Speichern" anklicken.

In dem sich öffnenden Fenster als Benutzernamen ZECM-Nutzerkonto@tu-berlin.de eingeben, und als Passwort das ZECM-Passwort. Die offenen Dialogfenster mit "OK" schließen.

Anschließend kann über das WLAN-Symbol in der Taskleiste eine Verbindung zum WLAN-Netzwerk eduroam aufgebaut werden.

TUB-Guest

Das TUB-Guest Netzwerk zeichnet sich dadurch aus, dass sie zunächst ein unverschlüsseltes WLAN mit privaten Adressen zur Verfügung stellen.

Im Browser öffnet sich dann eine Portal-Seite und man erhält darüber Zugang zum Internet.