Sitzung: Jeden Freitag in der Vorlesungszeit ab 16 Uhr c. t. im MAR 0.005. In der vorlesungsfreien Zeit unregelmäßig (Jemensch da?). Macht mit!

WLAN: Unterschied zwischen den Versionen

(WLAN der tubIT im H, MA, HFT und EN)
(mittlerweile völlig verworrenen, unübersichtlichen Artikel umgebaut, angepasst an aktuellen Stand)
Zeile 1: Zeile 1:
An der TU gibt es zwei große Rechnernetze mit Funkzugang. Die DHCP-Server hinter den Funkstationen weisen euch dynamisch IP-Adressen zu. Um tatsächlich etwas damit machen zu können, braucht ihr aber erst eine VPN-Verbindung zu dem jeweiligen VPN-Server des Rechnernetzes. Die CiscoVPN-Server wurde zum 1.10.2008 abgeschaltet, jetzt ist nur noch das WPA2-verschlüsselte eduroam-Netz oder der OpenVPN Dienst verfügbar.
+
An der TU-Berlin gibt es mehrere unterschiedliche Wlan-Netze, die Zugang zum Internet vermitteln. Diese Netze werden
 +
derzeit durch das campusweit verfügbare eduroam-Netzwerk abgelöst, das den Zugang auch an anderen europäischen Hochschulen
 +
mit dem Account der TU ermöglicht.
  
Es sollte mittlerweile auch möglich sein, sich aus dem WLAN des [[IRB]] im [[Franklingebäude]] in das [[ZRZ VPN|VPN der tubIT]] einzuwählen, da die [[TubIT]] nun Verbindungen auch aus dem IRB-Netz annimmt. (Voraussetzung ist ein tubIT-Account)
 
  
==Das IRB im FR==
+
= eduroam (und TU-Berlin_802.1x) =
 +
 
 +
Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lauten eduroam oder TU-Berlin_802.1x (dieser letzter sollte am aussterben sein).
 +
Hier die [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung] für Windows,Mac und diverse Handys.
 +
 
 +
Speziell für Linux :
 +
 
 +
Zu beachten:
 +
# Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, welches noch nicht im SecureW2 integriert ist.
 +
# Einige Einstellungen sind folgende:
 +
#* Identity: "tubIT-Nutzerkonto"@tu-berlin.de
 +
#* Password: das zum Account gehörige Passwort
 +
#* Anonymous Identity: anonymous@tu-berlin.de
 +
 
 +
== Network Manager (Gnome) ==
 +
 
 +
Siehe: [http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Screenshot/802.1X/802.1x_unter_GNOME__linux_.png Anleitung] von tubIT.
 +
 
 +
== wicd/wpa_suplicant ==
 +
 
 +
wicd hat diese Verschlüsselung nicht standardmäßig, aber es ist möglich sie hinzufügen dank templates
 +
 
 +
Editiere/erschaffe ''/etc/wicd/encryption/templates/eduroam'' und füge (aus [http://www.tubit.tu-berlin.de/wlan/installation/8021x/linux/ wpa_supplicant.conf]) :
 +
 
 +
name = eurodam
 +
author = tsaitgaist
 +
version = 1
 +
require identity *Identity password *Password
 +
-----
 +
ctrl_interface=/var/run/wpa_supplicant
 +
update_config=0
 +
eapol_version=1
 +
network={
 +
        ssid="$_ESSID"
 +
        scan_ssid=1
 +
        key_mgmt=WPA-EAP
 +
        eap=TTLS
 +
        identity="$_IDENTITY"
 +
        password="$_PASSWORD"
 +
        anonymous_identity="anonymous@tu-berlin.de"
 +
        phase1="peaplabel=0"
 +
        phase2="auth=PAP"
 +
}
 +
 
 +
$_ESSID, $_IDENTITY und $_PASSWORD sind entsprechend anzupassen, z.b.:
 +
ssid="eduroam", identity="blahfasel@tu-berlin.de"...
 +
 
 +
 
 +
Das template muss aktiv werden
 +
 
 +
echo "eduroam" | sudo tee -a /etc/wicd/encryption/templates/active
 +
 
 +
wicd neu starten
 +
 
 +
sudo /etc/init.d/wicd restart
 +
 
 +
Jetzt nur noch die Verschlüsseleung von der List vom GUI wählen und Identity/Password füllen
 +
 
 +
Hinweis: Bei gentoo-Nutzern kann es zu Problemen kommen, wenn der wpa_supplicant mit gnutls gelinkt wird, da die Primzahlen
 +
der Authentifizierung zu klein sind...
 +
 
 +
 
 +
= alte Wlan- Netze =
 +
 
 +
Die alten Netze zeichnen sich dadurch aus, dass sie zunächst ein unverschlüsseltes WLAN mit privaten Adressen zur Verfügung stellen.
 +
Man startet dann einen VPN-Client und erhält darüber Zugang zum Internet.
 +
 
 +
 
 +
== Das IRB im FR ==
 
VPN Server: prima.cs.tu-berlin.de . Um mit diesem ein VPN aufzubauen braucht ihr einen Zugang zum [[IRB VPN]].
 
VPN Server: prima.cs.tu-berlin.de . Um mit diesem ein VPN aufzubauen braucht ihr einen Zugang zum [[IRB VPN]].
  
==WLAN der tubIT im H, MA, HFT, EN und zukünftig auf dem ganzen Campus==
+
 
Hier braucht ihr noch den Zugang zum [[ZRZ VPN]] und einen speziellen Client. Eigentlich ist VPN aber nicht mehr nötig: Schon jetzt kann man sich über [[eduroam]] mittels Benutzerkennung (z.B. MaierM@tu-berlin.de) und Passwort auf dem ganzen TU-Campus und auf allen an eduroam angeschlossenen Hochschulen mit der tubit-Kennung einloggen.
 
  
 
== TU-Berlin_VPN und VPN/WEB (und oft Kabelnetzwerk) ==
 
== TU-Berlin_VPN und VPN/WEB (und oft Kabelnetzwerk) ==
  
Sie sind nicht verschlüsselt, aber um ins Internet zu kommen braucht man OpenVPN.
+
Dieses WLAN der tubIT war in den Gebäuden H, MA, HFT, EN stark ausgebaut und war auf den gesamten Campus geplant.
Dieses kann man auch außerhalb der Uni für eine gesicherte Verbindung nutzen, z.B. bei unverschlüsseltem WLan.
+
Es nutzte das [[ZRZ VPN|VPN der tubIT]], der support ist mittlerweile jedoch eingestellt. Zum Einsatz kam Anfangs der
 +
Cisco VPN-Client, später wurde parallel ein Zugang via openvpn ermöglicht. Das Wlan selbst ist nicht verschlüsselt, die Daten
 +
laufen aber durch das verschlüsselte VPN.
  
Für Windows und Mac : [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung]
+
Anleitungen: [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung]
 +
 
 +
Der Zugang via openvpn kann auch aus beliebigen anderen Netzen genutzt werden, um einen verschlüsselten Tunnel in das Uninetz aufzubauen
 +
und so in einem anderen öffentlichen Wlan (bei einem Hotspot, in einem Hotel, etc) eine gesicherte Verbindung zu erhalten oder von aussen
 +
auf Angebote innerhalb der Uni zuzugreifen, die nur aus dem Uninetz freigegeben sind.
  
Für linux :
 
  
 
=== openvpn deamon ===
 
=== openvpn deamon ===
Zeile 81: Zeile 154:
 
* DNS2 : 172.23.0.36 (zweite Position, sonst wird nur [http://130.149.4.173/ das] erscheinen)
 
* DNS2 : 172.23.0.36 (zweite Position, sonst wird nur [http://130.149.4.173/ das] erscheinen)
  
== eduroam (und TU-Berlin_802.1x) ==
 
 
Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lauten eduroam oder TU-Berlin_802.1x (dieser letzter sollte am aussterben sein).
 
Hier die [http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/?tx_jppageteaser_pi1%5BbackId%5D=33918 Tubit-Anleitung] für Windows,Mac und diverse Handys.
 
 
Spezial für Linux :
 
 
Zu beachten:
 
# Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, welches noch nicht im SecureW2 integriert ist.
 
# Einige Einstellungen sind folgende:
 
#* Identity: "tubIT-Nutzerkonto"@tu-berlin.de
 
#* Password: das zum Account gehörige Passwort
 
#* Anonymous Identity: anonymous@tu-berlin.de
 
 
=== Network Manager (Gnome) ===
 
 
[http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Screenshot/802.1X/802.1x_unter_GNOME__linux_.png Anleitung] von der tubIT benutzen (sollte auch für eduroam funktionieren).
 
 
=== wicd ===
 
 
wicd hat diese Verschlüsselung nicht standardmäßig, aber es ist möglich sie hinzufügen dank templates
 
 
Editiere/erschaffe ''/etc/wicd/encryption/templates/eduroam'' und füge (aus [http://www.tubit.tu-berlin.de/wlan/installation/8021x/linux/ wpa_supplicant.conf]) :
 
 
name = eurodam
 
author = tsaitgaist
 
version = 1
 
require identity *Identity password *Password
 
-----
 
ctrl_interface=/var/run/wpa_supplicant
 
update_config=0
 
eapol_version=1
 
network={
 
        ssid="$_ESSID"
 
        scan_ssid=1
 
        key_mgmt=WPA-EAP
 
        eap=TTLS
 
        identity="$_IDENTITY"
 
        password="$_PASSWORD"
 
        anonymous_identity="anonymous@tu-berlin.de"
 
        phase1="peaplabel=0"
 
        phase2="auth=PAP"
 
}
 
 
Der template muss aktiv werden
 
 
echo "eduroam" | sudo tee -a /etc/wicd/encryption/templates/active
 
 
wicd neu starten
 
 
sudo /etc/init.d/wicd restart
 
 
Jetzt nur noch die Verschlüsseleung von der List vom GUI wählen und Identity/Password füllen
 
  
 
[[Kategorie:Uni-ABC]]
 
[[Kategorie:Uni-ABC]]
 
[[Kategorie:Fakultäts-ABC]]
 
[[Kategorie:Fakultäts-ABC]]

Version vom 14. März 2009, 13:11 Uhr

An der TU-Berlin gibt es mehrere unterschiedliche Wlan-Netze, die Zugang zum Internet vermitteln. Diese Netze werden derzeit durch das campusweit verfügbare eduroam-Netzwerk abgelöst, das den Zugang auch an anderen europäischen Hochschulen mit dem Account der TU ermöglicht.


eduroam (und TU-Berlin_802.1x)

Mit eduroam ist es zum ersten Mal möglich europaweit an fast jeder Uni deren Wlan zu nutzen. Die Netzwerkname der Wlan-APs lauten eduroam oder TU-Berlin_802.1x (dieser letzter sollte am aussterben sein). Hier die Tubit-Anleitung für Windows,Mac und diverse Handys.

Speziell für Linux :

Zu beachten:

  1. Die TU Berlin verwendet ein von der Telekom CA 2 unterschriebenes Zertifikat, welches noch nicht im SecureW2 integriert ist.
  2. Einige Einstellungen sind folgende:
    • Identity: "tubIT-Nutzerkonto"@tu-berlin.de
    • Password: das zum Account gehörige Passwort
    • Anonymous Identity: anonymous@tu-berlin.de

Network Manager (Gnome)

Siehe: Anleitung von tubIT.

wicd/wpa_suplicant

wicd hat diese Verschlüsselung nicht standardmäßig, aber es ist möglich sie hinzufügen dank templates

Editiere/erschaffe /etc/wicd/encryption/templates/eduroam und füge (aus wpa_supplicant.conf) :

name = eurodam
author = tsaitgaist 
version = 1
require identity *Identity password *Password
-----
ctrl_interface=/var/run/wpa_supplicant
update_config=0
eapol_version=1
network={
        ssid="$_ESSID"
        scan_ssid=1
        key_mgmt=WPA-EAP
        eap=TTLS
        identity="$_IDENTITY"
        password="$_PASSWORD"
        anonymous_identity="anonymous@tu-berlin.de"
        phase1="peaplabel=0"
        phase2="auth=PAP"
}

$_ESSID, $_IDENTITY und $_PASSWORD sind entsprechend anzupassen, z.b.: ssid="eduroam", identity="blahfasel@tu-berlin.de"...


Das template muss aktiv werden

echo "eduroam" | sudo tee -a /etc/wicd/encryption/templates/active

wicd neu starten

sudo /etc/init.d/wicd restart

Jetzt nur noch die Verschlüsseleung von der List vom GUI wählen und Identity/Password füllen

Hinweis: Bei gentoo-Nutzern kann es zu Problemen kommen, wenn der wpa_supplicant mit gnutls gelinkt wird, da die Primzahlen der Authentifizierung zu klein sind...


alte Wlan- Netze

Die alten Netze zeichnen sich dadurch aus, dass sie zunächst ein unverschlüsseltes WLAN mit privaten Adressen zur Verfügung stellen. Man startet dann einen VPN-Client und erhält darüber Zugang zum Internet.


Das IRB im FR

VPN Server: prima.cs.tu-berlin.de . Um mit diesem ein VPN aufzubauen braucht ihr einen Zugang zum IRB VPN.


TU-Berlin_VPN und VPN/WEB (und oft Kabelnetzwerk)

Dieses WLAN der tubIT war in den Gebäuden H, MA, HFT, EN stark ausgebaut und war auf den gesamten Campus geplant. Es nutzte das VPN der tubIT, der support ist mittlerweile jedoch eingestellt. Zum Einsatz kam Anfangs der Cisco VPN-Client, später wurde parallel ein Zugang via openvpn ermöglicht. Das Wlan selbst ist nicht verschlüsselt, die Daten laufen aber durch das verschlüsselte VPN.

Anleitungen: Tubit-Anleitung

Der Zugang via openvpn kann auch aus beliebigen anderen Netzen genutzt werden, um einen verschlüsselten Tunnel in das Uninetz aufzubauen und so in einem anderen öffentlichen Wlan (bei einem Hotspot, in einem Hotel, etc) eine gesicherte Verbindung zu erhalten oder von aussen auf Angebote innerhalb der Uni zuzugreifen, die nur aus dem Uninetz freigegeben sind.


openvpn deamon

Openvpn installieren (aptitude oder apt-get):

sudo aptitude install openvpn

Konfiguration runterladen:

sudo wget http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Software/OpenVPN/tubit.ovpn -vO /etc/openvpn/tubit.conf
sudo wget http://www.tubit.tu-berlin.de/fileadmin/a40000000/msch4000/Software/OpenVPN/tubITChain.crt -vO /etc/openvpn/tubITChain.crt

Hierbei dient der Parameter -v der Anzeige, was der wget dabei macht (z.B. die Verbindung abbrechen weil die URL nicht stimmt, oder alles in Ordnung, usw.) und der Parameter O zur Angabe eines Output-Dateipfads. Befindet man sich bereits in /etc/openvpn/ ist dieser also unnötig.

Daemon starten:

sudo /etc/init.d/openvpn start

und Daten eingeben (Username ohne den @tu-berlin.de)

Um zu sehen ob die Verbinden erfolgreich gebaut wurde, einfach prüfen ob das Neztwerk tap0 existiert:

ifconfig

Um openvpn am Ende zu schließen :

sudo /etc/init.d/openvpn stop

openvpn client

Der daemon ist nicht sehr gesprächig. Der Klient ist, um Probleme zu finden, besser geeignet (die Konfiguration ist die gleiche)

sudo openvpn --config /etc/openvpn/tubit.conf --ca /etc/openvpn/tubITChain.crt

Network Manager (Gnome)

Erst müssen das Paket openvpn und ein Plugin für den Network Manager (unter Ubuntu: network-manager-openvpn) installiert werden. Anschließend fügt man im Network Manager eine neue VPN-Verbindung vom Typ: Openvpn. Folgende Einstellungen müssen gesetzt werden:

  • Gateway: openvpn1.tubit.tu-berlin.de
  • Type(Authentifizierungsart): Passwort
  • User Name: benutzer@tu-berlin.de
  • Password: Tubit-PW
  • CA Certificate: wie oben tubITChain.crt unter /etc/openvpn speichern und hier auswählen.
  • Advanced: LZO und Tap_device aktivieren


kvpnc

todo


DNS (für VPN/WEB)

Die Konfiguration des DNS ist ein wenig gewöhnungsbedürftig und hat sicherlich noch Potential verbessert zu werden.

Das eigentliche Problem besteht hier darin, dass im WLAN der Uni, also noch vor Aufbau der VPN-Verbindung, ein anderer DNS-Server genutzt wird, als später im VPN. Da die Adressvergabe im WLAN per DHCP erfolgt, dass regelmässig erneuert werden muss, kann es dann zu dem unschönen Effekt kommen, dass die DNS-Konfiguratin des VPN-Tunnels durch die eigentlich falsche Konfiguration der Wlan-Schnittstelle überschrieben wird.

Würde schon vor Aufbau der VPN-Verbindung ein offener DNS-Server genutzt werden, würde dies zu zwei unschönen Effekten führen. Erstens würde man wahnsinnig, weil man denkt, man sei im Internet, aber kann keine Seite erreichen, und zweitens kann die Hinweisseite mit den Anleitungen nicht angezeigt werden.


  • Wenn man mit dem Wlan TU-Berlin_VPN oder VPN/WEB verbunden ist ohne einen VPN-Tunnel aufgebaut zu haben, wird man immer auf die Tubit-Anleitung Seite geleitet.
  • Ist der DNS-Server des Tunnels falsch konfiguriert, wir man auch nachdem die VPN Verbindung errichtet ist zu dieser Seite weitergeleitet.
  • Bricht der Tunnel zusammen, wird man auch entsprechend weitergeleitet.

Man kann versuchen, nach dem Aufbau der VPN-Verbindung die DNS-Server manuell fest vorzugeben, indem man an erster Stelle den für externe Adressen zuständigen Server setzt und an die zweite Stelle den Server, der die vpn-server adresse auflösen kann. Der erste Server ist hier der von der TU-Berlin - er ist auf jeden Fall der am schnellsten erreichbare.

  • DNS1 : 130.149.4.20
  • DNS2 : 172.23.0.36 (zweite Position, sonst wird nur das erscheinen)